【質問】p.260 図4-85のCookie PXPSESIDが確認できない

[Saki T]

はじめまして。 「体系的に学ぶ 安全なWebアプリケーションの作り方」第2版で学習させていただいております。

分からない点があり、質問させていただきます。

p.260　図4-85にブラウザでクッキーを確認する箇所がありますが、表示されません。これはブラウザのバージョンの問題なのでしょうか？それとも、私の実行方法が正しくないのでしょうか？

本の例では　Cookie PXPSESID=pb0u・・・

＜実行手順＞

①　本書のとおりFirefoxにて実行してみたが、エラーとなる。（添付：図１）

②　Chromeにて実行してみたが、Cookie PXPSESIDは表示されない。（添付：図２）

※事前にセッションがセットされているか確認済み(添付：図３)

お忙しいところ恐縮ですが、ご教授お願い致します

[徳丸浩]

こんにちは。

徳丸です。拙著をご愛読いただきありがとうございます。

こちらFirefox 102.0以降で有効化されたクッキー保護の機能による副作用です。この画面以外にも、iframeやXMLHttpRequestを使う罠画面に影響があります。

Firefoxの更新は安全面からは歓迎すべきものですが、脆弱性のデモが動作しないというのは、実習上問題となります。

これを回避するためには、Firefoxの設定を変更する方法があります。

新しいFirefoxにはアドレスバーの左端に「盾」のアイコンが表示されているはずです。
48-900.html等trap.example.orgの画面を表示した状態で、 盾のアイコンをクリックすると、添付画像のようなダイアログが表示される（track-on.png）ので、

「強化型トラッキング防止機能はこのサイトでオンです」の横のスイッチをクリックして、オフに変更してください。その後は盾のアイコンに斜線が引かれた状態になります（track-off.png）。

その後はデモが動作するようになると思います。

この状態で特にFirefoxの利用が危険になることはありませんが、どうしても気になるようであれば、実習後に設定を戻しておくこともできます。

以上ご確認ください。

また、この内容は、この後wasbook.orgにて掲載したいと思います。

2022年7月7日(木) 14:06 Saki T <skondo.1...@gmail.com>:

--
このメールは Google グループのグループ「「体系的に学ぶ 安全なWebアプリケーションの作り方」サポートML」に登録しているユーザーに送られています。
このグループから退会し、グループからのメールの配信を停止するには wasbook-reade...@googlegroups.com にメールを送信してください。
このディスカッションをウェブ上で閲覧するには https://groups.google.com/d/msgid/wasbook-readers/5125b7d0-c34e-48c3-88cb-fc023e8b4dc2n%40googlegroups.com にアクセスしてください。

--

徳丸浩 htok...@gmail.com

[Saki T]

徳丸様

ご回答ありがとうございます。

丁寧にご説明頂き、大変ありがたいです。

ブラウザの更新でセキュリティー面が強化されているということですね。

 trap.example.orgの画面で「強化型トラッキング防止機能はこのサイトをオフ」に変更はできました。

⇒添付：図4

ただ、  Firefoxで実習を行った場合、http://example.jp/48/の「 HTTPSにてクッキーをセット（セキュア属性なし）」のリンクをクリックすると

外部のサーバーにアクセスできないの状態になり（前回メール添付：図1）

ブラウザにCookieをセットする状態にできません。（添付：図5）

前回メール添付：図1のとおり、エラーには「wasbook.org は安全なサイトだと思われますが、安全な接続を確立できませんでした。この問題はあなたのコンピューターかネットワークにある OWASP Zed Attack Proxy Root CA が原因です。」と記載があるのですが・・・

OWASPの設定が間違っているのでしょうか？？ブラウザの設定が間違っているのでしょうか？？

お忙しいところ申し訳ありません。ご教授お願いいたします。

2022年7月7日木曜日 17:23:49 UTC+9 徳丸浩:

[徳丸浩]

徳丸です。こんにちは。

これは、FoxyProxyの設定が間違っていると思われます。本の設定では、wasbook.org はOWASP ZAPを「通らない」ように設定しています。図1の状況だと、wasbook.orgへの通信もOWASP ZAP経由でアクセスしているように見えます。

本書P39の設定画面をご確認ください。わからない場合は、図2-48に相当する画面を共有ください。

2022年7月8日(金) 8:13 Saki T <skondo.1...@gmail.com>:

このディスカッションをウェブ上で閲覧するには https://groups.google.com/d/msgid/wasbook-readers/bf6a0a0a-9774-4cde-8395-333816e1c1cbn%40googlegroups.com にアクセスしてください。

--

徳丸浩 htok...@gmail.com

[Saki T]

徳丸様

こんにちは。早急にご回答くださり、ありがとうございます。

図2-48に相当する画面を共有させて頂きます。（添付：図6）

p39に沿って設定しているつもりなのですが、設定が誤っているでしょうか？？

お忙しいところ申し訳ありません。ご教授お願いいたします。

2022年7月8日金曜日 10:17:53 UTC+9 徳丸浩:

[徳丸浩]

徳丸です。こんにちは。

提示いただいた画面の設定は正しいように見えます。

遡って、図1をよく見ると、FoxyProxyに「def」という文字がみえます。これはルールによりDefault設定が利用されていることを意味します。

現段階で原因はわかりませんが、切り分けのために以下を試してみてもらえませんか?

(1) そのままの状態で、Google https://www.google.com/  やYahoo! https://www.yahoo.co.jp/ は正常に閲覧できるか?

(2) FoxyProxyの設定で Turn Offを選択して、https://wasbook.org/set_non_secure_cookie.php をアクセスする

2022年7月9日(土) 5:27 Saki T <skondo.1...@gmail.com>:

このディスカッションをウェブ上で閲覧するには https://groups.google.com/d/msgid/wasbook-readers/fb00e220-7299-4d6a-8b6d-c3f07e409e7an%40googlegroups.com にアクセスしてください。

--

徳丸浩 htok...@gmail.com

[Saki T]

徳丸様

ご回答ありがとうございます。

おかげで解決することができました。

大変助かりました。

【原因】は、ブラウザのプロキシの設定？を私が変更していたため、

外部のサーバーにアクセスできていませんでした。（添付：図7）

図4-85に相当するCookie PXPSESIDまで確認することができました。（添付：図8）

2022年7月9日土曜日 19:13:34 UTC+9 徳丸浩: