分野 ：テクノロジ系
中分類：セキュリティ
小分類：セキュリティ実装技術

Secure属性は、個々のcookieの動作を制御する属性の1つで、これが設定されたcookieは「HTTPS通信の場合のみ、WebブラウザからWebサーバに送信される」ようになります。cookieには認証情報等が含まれているので、盗聴の可能性がある非暗号化通信では窃取されてしまうおそれがあります。Secure属性を設定しておけば、HTTPのURLでアクセスしたときにcookieが送信されないので安全です。

したがって適切な記述は「ウ」です。

なお、cookieを発行する際に指定できる属性には"Secure"の他に以下の属性があります。

Domain

cookieを送信するドメインを指定する属性

Path

cookieを送信するURLディレクトリを指定する属性

Expires

cookieの有効期限を指定できる属性。指定しない場合の期限はブラウザを閉じるまで

HttpOnly

この属性が設定されたcookieはJavaScriptからアクセスできなくなる

SameSite

ドメインをまたぐcookieの送信を制御する。cookieの送信元を制限することでCSRF攻撃を防ぐ

• Secure属性は、cookieの有効期限とは関係ありません。記述はExpires属性についてのものです。
• 記述はDomain属性についてのものです。
• 正しい。Secure属性についての記述です。
• Secure属性はcookieの有効期限とは関係ありません。ブラウザを閉じるときにcookieを消したいときは、Expires属性を設定しないか、値として0を設定します。