ブラウザは、httpsで発行されたcookieをhttp接続で(というかどんなポートにでも)投げてしまうらしい。ここ(ipa.go.jp)の話はそう読める。memo(ryukoku.ac.jp)の話より。

こんなのは投げちゃうブラウザが悪いんじゃんか。と思ったらPHPのマニュアルとかNetscape様のcookieのマニュアル(netscape.com)になんとなく書いてあった。…これはさすがに、secure属性をつけなければ。

(追記) 2003-08-11 09:08

むしろマニュアルを読む限り、httpのcookieには何を言っても無駄ということになるようだ。http経由でホストhogeが投げたcookieは、どうにかしてhttp://hoge:9999/とかに誘導して、hoge:9999で誰かが待ってれば全部見れちゃう。…たとえそれが気休めで、httpのcookieを守ろうとする奴がどこにもいないのだとしても、そこまでやばいシステムだとは思わないよな、普通。だってホスト名とpathで守るつもりなら、そこにポート番号の条件を入れないのはおかしいじゃんか。…ていうかこれ、pathで守る意味がないよね。

(追記) 2003-08-11 17:25

自分のブラウザのcookieを調べてみた。なんと、secure属性がついたcookieは一つもなかった。ちゃんちゃん…じゃないか。まあ、必要そうなcookieしか受け入れてないんだけどさ。

(追記) 2003-08-11 19:05

weblog.incをいじってsecure属性をつけた。ブラウザで確認済み。