none
セッションcookieにsecure属性が付かない(IIS6+ASP) RRS feed

  • 質問

  • SSLの環境でIIS6でASP(.netでは無い)を動かしているのですが、

    ASPが自動生成するセッションcookieにsecure属性が付かなくて困っております。

    下記、MSのサポートページを参考に

    http://support.microsoft.com/default.aspx?scid=kb;ja;274149

    下記コマンド実行して、AspKeepSessionIDSecureを1に設定しました。

    cscript adsutil.vbs set w3svc/1/AspKeepSessionIDSecure 1

    しかし、対象のWEBページ(HTTPS)を閲覧中に、セッションcookieの内容を覗いても、下記のようにsecure属性がマークされてません。

    Set-Cookie: ASPSESSIONIDxxxxx=yyyyyyyyyyy; path=/ ;

    何かほかに設定が必要なのでしょうか?もしくは、プログラム上にコードの追加が必要なのでしょうか?

    よろしくお願いします。


    2014年4月19日 23:35

すべての返信

  • クラッシック ASP はぜんぜん知らない自分がレスするのもなんですが・・・

    ASP.NET のケースですが以下のような話しがありました。

    ASP.NET web.config formsのrequireSSL設定について
    http://social.msdn.microsoft.com/Forums/ja-JP/6b5236ef-318d-4e4a-9f82-85c2ee56b623/aspnet-webconfig-formsrequiressl?forum=aspnetja

    つまり、一般のクッキーの場合、Cookie.Secure = true; と設定すると、Set-Cookie: name=...; path=/; secure というクッキーが応答ヘッダーに含まれてブラウザに返されますが、認証クッキーは仕組みが違って secure 属性を付与する手段がない(というより付与する必要がない)ということです。

    ひょっとしてクラッシック ASP でも同じことではないでしょうか?

    ハズレでしたらすみません。

    【追伸】

    すみません。セッションクッキーと認証クッキーを取り違えてました。ぜんぜんハズレなレスになっていたようです。

    • 編集済み SurferOnWww 2014年4月20日 6:59 追伸追加
    2014年4月20日 2:01
  • コマンド中の / で囲まれた 1 は Web サイトの識別子を指定します。(末尾の 1 ではありません)
    識別子は IIS マネージャで確認できます。
    対象の Web ページをサービスしてる Web サイトの識別子が実は 1 以外、ということは無いでしょうか?

    MCITP(Database Developer/Database Administrator)

    • 回答の候補に設定 佐伯玲 2014年4月22日 0:08
    • 回答の候補の設定解除 佐伯玲 2014年4月23日 2:16
    2014年4月21日 9:04
  • ありがとうございます。

    IISマネージャで確認しましたが、識別子は1でした。

    原因不明です。

    2014年4月22日 12:46
  • IIS の再起動を行っても変わりませんよね。
    謎ですね。。。

    MCITP(Database Developer/Database Administrator)

    2014年4月24日 6:39
  • IISの再起動はしております。

    Metabase.xmlのAspKeepSessionIDSecureパラメータも1になってましたし、

    お手上げ状態です。

    secure属性になっているかの確認は、firefoxブラウザからcookieを見てますが

    「送信制限:暗号化の有無によらず常に送信」と表示されており、

    secure属性となっておりません。



    2014年4月24日 13:37