Conversation
|
@KotatuBot 以下のように ファイルの冒頭に Hugoのメタデータの追加をお願いします! |
There was a problem hiding this comment.
影響
影響
SameSite属性の挙動比較 などでもよさそうです。
各種ブラウザの挙動におけるSameSite属性の挙動ついて整理していきます。
・SameSite属性の挙動ついて→「に」が抜けていそうです。
・挙動というワードが連続しているので、
「各ブラウザにおけるSameSite属性の挙動ついて整理していきます。」などでもよさそうです。
Google Chrome
ただし、ChromeやEdgeにおいては、デフォルトの挙動で注意が必要な点があります。〜
・Chromeの項目の中で、まだ紹介していないEdgeの話題が出てくることに少し違和感があったので、
Edgeの項目のあとに補足の項目をつくり、そこに2分間ルールについての記述は切り出してまとめるでもよさそうです。(ChromeとEdgeで2分間ルールの話題が繰り返しでているので、スッキリしそうというのもあります)
それは、Cookieが生成されてから2分間はクロスサイトでCookieが送信される2分間ルールが存在する点です。あります。
・あります。の削除(typoだと思いますが)
・少し意味を誤読しそうに思ったため、以下のように少し詳しく表現するのはどうでしょうか?
SameSite属性が未指定の場合に限り、発行から2分間はクロスサイトリクエストでもCookieが送信される2分間ルールが存在します。
送信されるようになっているようです
・「されるようです」がシンプルで読みやすそうです。
Firefox
実際に2024年のバージョン(129.0.1)においてもSameSite属性を指定しない場合にはNoneが設定されています。そのため、デフォルトだとCookieを送信してしまいます。
・以下のようにまとめるのもよさそうです。
「実際に2024年のバージョン(129.0.1)においてもSameSite属性を指定しない場合にはNoneが設定されており、クロスサイトリクエストでもCookieが送信される可能性があります。」
Safari
SafariではSameSite属性はデフォルトの設定では「-」と表示され、Noneとなります。
・色々調べていたんですが、厳密にはSameSite属性未指定時には、デフォルトでNone相当として扱われるという認識ですかね・・・?
https://zenn.dev/shoan/articles/1d929251bd9375#%E5%90%84%E3%83%96%E3%83%A9%E3%82%A6%E3%82%B6%E3%81%AE%E3%83%87%E3%83%95%E3%82%A9%E3%83%AB%E3%83%88%E5%80%A4
・現状だと、Noneに設定されるとも読めそうなので「開発者ツール上では「-」と表示され、None相当として扱われます。」とかでもよさそうですかね。
ブラウザの設定のプライバシーからWebサイトによるトラッキングを無効にする必要があります。
・「Safariのプライバシー設定でWebサイトによるトラッキングを無効にする必要があります。」などでもよさそうです。
この機能によりSafariではNoneを設定した場合にはCookieが送信されないようになっています。
・SameSite属性が未指定の場合もこの対象であれば、
「SameSite属性が未設定、またはNoneを設定した場合にはCookieが送信されないようになっています。」でもよさそうに思いました。
Cookieを送信してしまいます
・Cookieが送信されます でも良さそうに思います。
診断観点
しかし、SameSite属性はブラウザの意向やユーザの設定変更により動作が変わります。
・「ブラウザの仕様変更やユーザーの設定」という表現も良さそうに思いました。
1は、SameSite属性を指定しない場合、ユーザが利用するブラウザによりデフォルトの挙動に依存します。
ユーザのブラウザの種類やバージョンや設定をコンテンツ提供者側が制御することはできません。
・以下のようにまとめてしまっても良さそうです。
「SameSite属性を指定しない場合、その挙動は利用者のブラウザの種類やバージョン、設定に依存し、
コンテンツ提供側で制御することはできません。」
対策
デフォルトのブラウザの挙動によりCSRFから守られるケースはあるが、
・ありますが、 が良さそうに思います。
なので、
・そのため、 が良さそうに思います。
[その他]
・Chrome
Google ChromeとChromeという表現があるので、統一したほうがよさそうです。
・サードパーティCookieとCookieは統一したほうが良さそうですが、意図的に分けているのであれば、スルーでお願いします!
・「FireFox」「MicroSoft Edge」となっている部分があるため、Firefox、Microsoft Edgeとするのがよさそうです。
3 participants
一旦、今できている分でPushさせていただいています。
後程修正を行う可能性はあります。