ZenovayTools

クッキーセキュリティアナライザー

任意のURLによって返されたクッキーをセキュリティ属性について分析します。HttpOnly、Secure、SameSite (Strict/Lax/None)、Domain スコープ、有効期限をチェックし、セキュアでない設定をフラグします。クッキー単位のセキュリティスコアと推奨事項を取得します。

クッキーセキュリティアナライザーの使い方

  1. 1URLを入力してそのクッキーを分析します。
  2. 2ツールはURLをフェッチして、すべてのSet-Cookieレスポンスヘッダーを収集します。
  3. 3各クッキーがHttpOnly、Secure、SameSite、およびその他のセキュリティ属性について分析されます。
  4. 4各セキュアでないクッキーについて、問題と推奨事項が表示されます。
Zenovayアナリティクス

クッキーバナーのいらないアナリティクス。

  • リアルタイムの訪問者トラッキング
  • プライバシーファースト、クッキーバナーなし
  • 2分でセットアップ
Zenovayを見る

関連ツール

パスワードジェネレーター
カスタマイズ可能な長さ、文字、複雑性で強力でランダムなパスワードを生成します。
パスワード強度チェッカー
パスワードの強さをチェックします。推定クラック時間と改善提案を取得します。
HMACジェネレータ
Web Crypto APIを使用してSHA-256、SHA-384、またはSHA-512でHMAC署名を生成します。
AES暗号化/復号化
AES-GCMおよびPBKDF2キー導出を使用してテキストを暗号化および復号化します。ブラウザー内で完全に実行されます。

よくある質問

すべてのクッキーが持つべきセキュリティ属性は何ですか?
すべてのセッションまたは認証クッキーは以下を持つべきです:(1)HttpOnly—JavaScriptアクセスを防止し、XSSクッキー盗難をブロックします。(2)Secure—クッキーがHTTPSでのみ送信されることを保証し、傍受を防ぎます。(3)SameSite=StrictまたはLax—クッキーがクロスサイトで送信されるときを制限することで、CSRF攻撃を防ぎます。非機密クッキー(分析、設定)の場合、緩和された設定が受け入れられる場合がありますが、セキュリティクリティカルなクッキー(セッションID、認証トークン)は常にすべて3つを持つべきです。
SameSite属性とは何で、どの値を使用すべきですか?
SameSiteはクロスサイトリクエストでクッキーが送信される時を制御します。Strict:同一サイトリクエストのみ送信(最も安全ですが、OAuthフローとメールリンクを破損する可能性があります)。Lax(最新ブラウザのデフォルト):トップレベルナビゲーションの場合は送信されますが、クロスサイトAPIリクエストではありません。None:すべてのクロスサイトリクエストで送信—Secureフラグが必要です。認証/セッションクッキーにはStrictを使用します。その他のほとんどについてはLaxを使用します。クロスサイトで動作する必要があるサードパーティクッキー(埋め込みウィジェット、SSOなど)にのみNoneを使用してください。
セッションクッキーと永続的なクッキーの違いは何ですか?
セッションクッキーにはExpiresまたはMax-Age属性がありません。ブラウザセッションが終了した場合(ユーザーがブラウザタブ/ウィンドウを閉じた場合)に削除されます。永続的なクッキーはExpiresの日付またはMax-Age値を持ち、ブラウザを再起動してから生き残ります。認証の場合、セッションクッキーはより安全です(曝露のウィンドウが短い)が、「私を覚えている」機能の場合は不便な場合があります。長期間有効な永続的なクッキーはより高いリスクです。盗まれた場合、より長く有効なままです。
サードパーティクッキーがブロックされるのはなぜですか?
ブラウザはプライバシー上の理由でサードパーティクッキー(ページのドメインと異なるドメイン属性を持つクッキー)を廃止しています。Chromeはサードパーティクッキーから離れようとしており、SafariとFirefoxはすでにデフォルトでそれらをブロックしています。クッキーが別のドメインに設定されたドメインを持っている場合、クロスサイトリクエストではブロックされます。最新の認証パターンはOAuthリダイレクトフロー、トークンベースの認証、またはブラウザパーティション化ストレージなどの同一サイトの代替手段を使用します。
このツールはなぜ初期レスポンスからのクッキーのみを表示するのですか?
アナライザーはURLを取得し、HTTPレスポンスのSet-Cookieヘッダーを検査します。ページ読み込み後にJavaScript(document.cookie)によって設定されたクッキーはツールがサーバー側クッキーのみを見るため、表示されません。さらに、ログイン後または特定のアクション後にのみクッキーを設定するアプリケーションもあります。ログインページURLをテストするとホームページとは異なるクッキーが表示される場合があります。包括的なクッキー監査の場合、ブラウザの開発者ツールを使用し、ユーザーフロー全体のすべてのSet-Cookieヘッダーをログに記録してください。