情報セキュリティ講座(29) クッキー(Cookie)
Webアプリケーションでクライアントとサーバが通信をする際に使用される情報です。
HTTPのレスポンスヘッダのSet-Cookieに、サーバがクッキーの値をセットします。次にクライアントが、リクエストを送るときにクッキーを返すことで、サーバは通信が連続していると判断できます。
Web通信をする際に、クライアントとサーバの一連のやり取りが行われている間、通信が途切れなく繋がっているとは限りません。例えば、入力に何時間もかかる場合、入力の最中に途中で移動して接続が切れてしまうことがあります。それでも登録するタイミングで接続すれば、入力完了できたりします。これはクッキーの仕組みがあるからです。
Web発注するときの買い物カゴも、クッキーの値の有効期限を極端に長くすることで、数日前の買い物の続きができたりします。
クッキーは便利な仕組みですが、クライアントにサーバ情報が残るという意味で、情報セキュリティ上はリスクがあります。
クッキーの属性をSecurityとすることで、セキュアなプロトコルであるHTTPSに限定することもできますが、クッキーを介したサイバー攻撃があることは覚えておいて良いと思います。