Skip Navigation
Show nav
Heroku Dev Center
  • Get Started
  • ドキュメント
  • Changelog
  • Search
  • Get Started
    • Node.js
    • Ruby on Rails
    • Ruby
    • Python
    • Java
    • PHP
    • Go
    • Scala
    • Clojure
  • ドキュメント
  • Changelog
  • More
    Additional Resources
    • Home
    • Elements
    • Products
    • Pricing
    • Careers
    • Help
    • Status
    • Events
    • Podcasts
    • Compliance Center
    Heroku Blog

    Heroku Blog

    Find out what's new with Heroku on our blog.

    Visit Blog
  • Log inorSign up
View categories

Categories

  • Heroku のアーキテクチャ
    • Dyno (アプリコンテナ)
    • スタック (オペレーティングシステムイメージ)
    • ネットワーキングと DNS
    • プラットフォームポリシー
    • プラットフォームの原則
  • コマンドライン
  • デプロイ
    • Git を使用したデプロイ
    • Docker によるデプロイ
    • デプロイ統合
  • 継続的デリバリー
    • 継続的統合
  • 言語サポート
    • Node.js
    • Ruby
      • Bundler の使用
      • Rails のサポート
    • Python
      • Django の使用
      • Python でのバックグランドジョブ
    • Java
      • Maven の使用
      • Java でのデータベース操作
      • Play Framework の使用
      • Spring Boot の使用
      • Java の高度なトピック
    • PHP
    • Go
      • Go の依存関係管理
    • Scala
    • Clojure
  • データベースとデータ管理
    • Heroku Postgres
      • Postgres の基礎
      • Postgres のパフォーマンス
      • Postgres のデータ転送と保持
      • Postgres の可用性
      • Postgres の特別なトピック
    • Heroku Redis
    • Apache Kafka on Heroku
    • その他のデータストア
  • モニタリングとメトリクス
    • ログ記録
  • アプリのパフォーマンス
  • アドオン
    • すべてのアドオン
  • 共同作業
  • セキュリティ
    • アプリのセキュリティ
    • ID と認証
    • コンプライアンス
  • Heroku Enterprise
    • Private Space
      • インフラストラクチャネットワーキング
    • Enterprise Accounts
    • Enterprise Team
    • Heroku Connect (Salesforce 同期)
    • シングルサインオン (SSO)
  • パターンとベストプラクティス
  • Heroku の拡張
    • Platform API
    • アプリの Webhook
    • Heroku Labs
    • アドオンのビルド
      • アドオン開発のタスク
      • アドオン API
      • アドオンのガイドラインと要件
    • CLI プラグインのビルド
    • 開発ビルドパック
    • Dev Center
  • アカウントと請求
  • トラブルシューティングとサポート
  • セキュリティ
  • アプリのセキュリティ
  • Cookie および Public Suffix List

Cookie および Public Suffix List

日本語 — Switch to English

この記事の英語版に更新があります。ご覧の翻訳には含まれていない変更点があるかもしれません。

最終更新日 2019年07月01日(月)

Table of Contents

  • 履歴コンテキスト
  • Cedar および herokuapp.com
  • ssl:endpoints および herokussl.com
  • 追加情報

​herokuapp.com​ は Mozilla Foundation の ​Public Suffix List​ に登録されています。このリストは、複数のブラウザ (Firefox、Chrome、Opera など) の最新バージョンで、Cookie の適用範囲を制限するために使用されています。言い換えると、この機能がサポートされるブラウザでは、​herokuapp.com​ ドメインのアプリケーションによる ​*.herokuapp.com​ に対する Cookie の設定が阻止されます。​*.herokuapp.com​ の Cookie は現在 Internet Explorer で設定できますが、この動作は信頼できず、今後変更される可能性があります。

これは、​カスタムドメイン​を使用しているアプリケーションには影響しません。

​

履歴コンテキスト

​

​

Cookie の適用範囲設定

​

通常、Web サイトでは、ブラウザの Cookie の適用範囲はその Web サイト独自のドメイン、またはそのドメインが属するより高いレベルの DNS ドメインに対して設定されます。これは、サーバーの Set-Cookie HTTP レスポンスヘッダーにある「domain」属性によって制御されます。たとえば、​https://www.cs.berkeley.edu/​ では、ユーザーのブラウザで、それ自体にのみ、末尾が ​cs.berkeley.edu​ のすべてのホスト (​radlab.cs.berkeley.edu​ など)、または末尾が ​berkeley.edu​ のすべてのホスト (​english.berkeley.edu​ など) に再送信が可能なように Cookie を設定できます。末尾が edu のすべてのホスト (​www.stanford.edu​ など) に適用されるように Cookie を設定することは​できません​。これは ​.edu​ に一意ではなく、​.com​、​.org​、​.net​ を含むすべてのトップレベルドメイン (TLD) に適用されます。当然ながら、サーバーには ​domain=.edu​ で Set-Cookie ヘッダーを渡す機能がありますが、これはセキュリティが強固なブラウザでは推奨されません。

TLD レベルでの Cookie 設定に関するこの制限は、Web が使用されるようになった当初から存在します。この制限はセキュリティ上の理由から存在し、Cookie のサードパーティへの誤送信を阻止して、クッキースタッフィングや、より一般的なタイプの​セッション固定化攻撃​に対する部分的な保護に役立ちます。一般的な根拠として、同じ DNS サブドメイン内の Web サーバーは通常、同じ組織 (前述の例ではカリフォルニア大学バークレー校 (University of California, Berkeley))が操作しているとみなされるため、相互に攻撃する可能性は低いと推定されます。大半の TLD では一般のあらゆるユーザーがサブドメインを登録できるため、この推定は TLD レベルでは該当しません。

​

単なる TLD の問題ではない

​

これは、セカンドレベルドメイン (​.co.uk​、​.ne.jp​ など) を疑似 TLD として使用し、サブドメインを登録できるユーザー (​amazon.co.uk​ など) についての制約が少ないまたは制約がない多くの国を考慮すると、さらに複雑になります。

この問題に対応するため、これらのドメインが DNS 階層のどのレベルに該当するかに関係なく、ブラウザのベンダーは内部で維持されるパブリックドメインのリストを使用しました。必然的に、これは非常に基礎的なレベルにおけるブラウザ全体の動作の不整合につながりました。

​

Public Suffix List

​

Mozilla Foundation は最終的に、これらのパブリックドメインをすべて記録し、ブラウザのベンダー全体で共有する、​Public Suffix List​ と呼ばれるプロジェクトを開始しました。一部のブラウザでは Public Suffix List を使用していません。

​

Cedar および herokuapp.com

​

Cedar スタック上の Heroku アプリケーションはすべて、デフォルトで ​herokuapp.com​ ドメインによってホストされているため、Heroku ではパブリックサフィックスの問題にも対応しています。

Heroku では、Public Suffix List に登録することのメリットは、複数のアプリにわたって Cookie を共有できるという危険かつほとんど有益でない状況に勝ると確信しています。

パブリックドメインで、複数のアプリケーション間で Cookie を共有する適切なユースケースも多数ありますが、アプリケーションにとって、​カスタムドメイン​を使用すればよりよく安全に行うことができます。

​

ssl:endpoints および herokussl.com

​

さまざまな理由から、Heroku の ​SSL エンドポイント​は ​herokussl.com​ という別の共有ドメインでホストされています。このドメインはカスタムドメインの CNAME を指す DNS レコード以外としての使用を推奨またはサポートされていないため、​herokussl.com​ も Public Suffix List に追加されています。

​

追加情報

​

  • Public Suffix List プロジェクトには、このリストが使用されるその他の領域の部分的なリストもあります。このリストは ​http://publicsuffix.org/learn/​ にあります。
  • セッション固定化や Cookie ハイジャックの問題、そしてこれらが具体的にどのように Heroku に適用されるのかについての説明は、「Origin Cookies: Session Integrity for Web Applications」 (Cookie の起源: Web アプリケーションのセッション整合性) (https://www.abortz.net/papers/session-integrity.pdf) に記載されています。
  • Cookie および全般についての、一般的なブラウザのセキュリティモデルの詳細は、Michal Zalewski 氏の著書「​The Tangled Web​」を参照することをお勧めします。

関連カテゴリー

  • アプリのセキュリティ
自己署名の SSL 証明書を作成する Heroku SSL

Information & Support

  • Getting Started
  • Documentation
  • Changelog
  • Compliance Center
  • Training & Education
  • Blog
  • Podcasts
  • Support Channels
  • Status

Language Reference

  • Node.js
  • Ruby
  • Java
  • PHP
  • Python
  • Go
  • Scala
  • Clojure

Other Resources

  • Careers
  • Elements
  • Products
  • Pricing

Subscribe to our monthly newsletter

Your email address:

  • RSS
    • Dev Center Articles
    • Dev Center Changelog
    • Heroku Blog
    • Heroku News Blog
    • Heroku Engineering Blog
  • Heroku Podcasts
  • Twitter
    • Dev Center Articles
    • Dev Center Changelog
    • Heroku
    • Heroku Status
  • Facebook
  • Instagram
  • Github
  • LinkedIn
  • YouTube
Heroku is acompany

 © Salesforce.com

  • heroku.com
  • Terms of Service
  • Privacy
  • Cookies