Remove From My Forums

セッションcookieにsecure属性が付かない(IIS6+ASP)

質問
0

サインインして投票
SSLの環境でIIS6でASP(.netでは無い)を動かしているのですが、

ASPが自動生成するセッションcookieにsecure属性が付かなくて困っております。

下記、MSのサポートページを参考に

http://support.microsoft.com/default.aspx?scid=kb;ja;274149

下記コマンド実行して、AspKeepSessionIDSecureを1に設定しました。

cscript adsutil.vbs set w3svc/1/AspKeepSessionIDSecure 1

しかし、対象のWEBページ(HTTPS)を閲覧中に、セッションcookieの内容を覗いても、下記のようにsecure属性がマークされてません。

Set-Cookie: ASPSESSIONIDxxxxx=yyyyyyyyyyy; path=/ ;

何かほかに設定が必要なのでしょうか？もしくは、プログラム上にコードの追加が必要なのでしょうか？

よろしくお願いします。
- 編集済み banana7703 2014年4月20日 12:22
2014年4月19日 23:35

返信

|

引用

すべての返信

0

サインインして投票
クラッシック ASP はぜんぜん知らない自分がレスするのもなんですが・・・

ASP.NET のケースですが以下のような話しがありました。

ASP.NET web.config formsのrequireSSL設定について
http://social.msdn.microsoft.com/Forums/ja-JP/6b5236ef-318d-4e4a-9f82-85c2ee56b623/aspnet-webconfig-formsrequiressl?forum=aspnetja

つまり、一般のクッキーの場合、Cookie.Secure = true; と設定すると、Set-Cookie: name=...; path=/; secure というクッキーが応答ヘッダーに含まれてブラウザに返されますが、認証クッキーは仕組みが違って secure 属性を付与する手段がない（というより付与する必要がない）ということです。

ひょっとしてクラッシック ASP でも同じことではないでしょうか？

ハズレでしたらすみません。

【追伸】

すみません。セッションクッキーと認証クッキーを取り違えてました。ぜんぜんハズレなレスになっていたようです。
- 編集済み SurferOnWww 2014年4月20日 6:59 追伸追加
2014年4月20日 2:01

返信

|

引用
0

サインインして投票
コマンド中の / で囲まれた 1 は Web サイトの識別子を指定します。(末尾の 1 ではありません)
識別子は IIS マネージャで確認できます。
対象の Web ページをサービスしてる Web サイトの識別子が実は 1 以外、ということは無いでしょうか？
MCITP（Database Developer/Database Administrator）
- 回答の候補に設定佐伯玲 2014年4月22日 0:08
- 回答の候補の設定解除佐伯玲 2014年4月23日 2:16
2014年4月21日 9:04

返信

|

引用
0

サインインして投票

ありがとうございます。

ＩＩＳマネージャで確認しましたが、識別子は1でした。

原因不明です。

2014年4月22日 12:46

返信

|

引用
0

サインインして投票

IIS の再起動を行っても変わりませんよね。
謎ですね。。。
MCITP（Database Developer/Database Administrator）

2014年4月24日 6:39

返信

|

引用
0

サインインして投票
IISの再起動はしております。

Metabase.xmlのAspKeepSessionIDSecureパラメータも1になってましたし、

お手上げ状態です。

secure属性になっているかの確認は、firefoxブラウザからcookieを見てますが

「送信制限：暗号化の有無によらず常に送信」と表示されており、

secure属性となっておりません。
- 編集済み banana7703 2014年4月24日 13:53
2014年4月24日 13:37

返信

|

引用