1. Cookie の使用

Cookie の使用

Version:
日本語翻訳に関する免責事項

このページの翻訳はAIによって自動的に行われました。可能な限り正確な翻訳を心掛けていますが、原文と異なる表現や解釈が含まれる場合があります。正確で公式な情報については、必ず英語の原文をご参照ください。

Content Hub は、ブラウザの Cookie を使用して、ユーザー操作の安全性を向上します。 次の表に、Content Hub で使用されるさまざまな Cookie を示します。

Cookie 名スコープ説明
.AspNetCore.Identity.Application認証ユーザーの認証に使用されます。 この Cookie は、CookieName および CookieDomain プロパティを更新することによって [設定 > 認証] で設定できます。
Identity.External認証 (SSO)外部ユーザーの認証 (SSO) に使用されます。 内部ユーザー認証 (SSOなし) ではこの Cookie は使用されません。
__xRequestedByセキュリティ (フォージェリ防止)クロスサイト リクエスト フォージェリ攻撃 (CSRF) を防ぐためのセキュリティ対策として使用されます。

使用される Cookie には、ユーザー ID やユーザー名など、ログインしたユーザーに関する、暗号化された最小限の情報が含まれています。

第三者によるこれらの Cookie の改ざんを回避するために、Content Hub では Secure / HTTPOnly フラグを使用しています。 安全なフラグを使用することにより、Cookie は安全な HTTPS 接続を介してのみ送信されます。 HTTPOnly フラグは、JavaScript による Cookie へのアクセスを防止し、XSS 攻撃 (クロスサイト スクリプティング) に対する追加の保護レイヤーを提供します。

SameSite の互換性

Content Hub は、2019 年 12 月に発表された、SameSite のための 2019年版標準原案をサポートします。次のセクションでは、新標準に伴う互換性の問題と、Content Hub でのそれへの対応について説明します。

Cookies に関する Chrome の最新アップデートにより、2 つの主な変更が導入されました。

  • SameSite=Laxのような明示的なSameSite 属性の欠如に対処します。
  • Secureをアサートするすべての Cookie にSameSite=None属性を設定する必要があります。

この新しい SameSite ポリシーにより、SameSite 属性が指定されていない場合の Cookie の既定の動作が変更されブラウザ間で不整合が発生する (新しい標準を採用しているブラウザの場合は Lax、採用していないブラウザの場合は None) ため、これは重大な変更です。

[!注] SameSite Cookies の詳細についてはSameSite Cookie の説明を参照してください。

この互換性の問題を回避するために、Content Hub では、使用されているブラウザーをチェックし、すべての Cookie ヘッダーに正しい値が設定されていることを確認するミドルウェア コンポーネントを導入しました。 これは、[設定 > 認証 > SameSiteCompatibility] で設定できる、SameSiteCompatibility設定に基づいています。

"SameSiteCompatibility":{
    "is_enabled":true,
    "user_agent_patterns":[
        "(Chrome/5|Chrome/6)",
        "(CPU iPhone OS 12|iPad; CPU OS 12)",
        "^(?=.\bMacintosh; Intel Mac OS X 10_14\b)(?=.\bVersion/\b)(?=.\bSafari\b).$"
    ]
}

[!注] user_agent_patternsプロパティは、新しい SameSite 標準と互換性がないブラウザ (ユーザーエージェント パターン) を指定します。

この記事を改善するための提案がある場合は、 お知らせください!