ブラウザは、httpsで発行されたcookieをhttp接続で(というかどんなポートにでも)投げてしまうらしい。ここ(ipa.go.jp)の話はそう読める。memo(ryukoku.ac.jp)の話より。 こんなのは投げちゃうブラウザが悪いんじゃんか。と思ったらPHPのマニュアルとかNetscape様のcookieのマニュアル(netscape.com)になんとなく書いてあった。…これはさすがに、secure属性をつけなければ。 (追記) 2003-08-11 09:08 むしろマニュアルを読む限り、httpのcookieには何を言っても無駄ということになるようだ。http経由でホストhogeが投げたcookieは、どうにかしてhttp://hoge:9999/とかに誘導して、hoge:9999で誰かが待ってれば全部見れちゃう。…たとえそれが気休めで、httpのcookieを守ろうとする奴がどこにもいないのだとしても、そこまでやばいシステムだとは思わないよな、普通。だってホスト名とpathで守るつもりなら、そこにポート番号の条件を入れないのはおかしいじゃんか。…ていうかこれ、pathで守る意味がないよね。 (追記) 2003-08-11 17:25 自分のブラウザのcookieを調べてみた。なんと、secure属性がついたcookieは一つもなかった。ちゃんちゃん…じゃないか。まあ、必要そうなcookieしか受け入れてないんだけどさ。 (追記) 2003-08-11 19:05 weblog.incをいじってsecure属性をつけた。ブラウザで確認済み。