Cookies: HTTP State Management Mechanism （日本語訳）

◎要約

この文書は~HTTP `Cookie^h と `Set-Cookie^h ~headerを定義する。これらの~headerは、（~cookieと呼ばれる）状態~情報を~HTTP~UA側に格納させるために，~HTTP~serverにより利用され得るものであり、ほぼ状態~情報がない~HTTP~protocol越しに，~serverが状態を保つ~sessionを保守できるようにする。 ~cookieには，~securityと~privacyを退行させる多くの歴史的な欠陥があるが、 `Cookie^h と `Set-Cookie^h ~headerは~internet上で広範に利用されている。この文書は `RFC2965$r を廃用にする。 ◎ This document defines the HTTP Cookie and Set-Cookie header fields. These header fields can be used by HTTP servers to store state (called cookies) at HTTP user agents, letting the servers maintain a stateful session over the mostly stateless HTTP protocol. Although cookies have many historical infelicities that degrade their security and privacy, the Cookie and Set-Cookie header fields are widely used on the Internet. This document obsoletes RFC 2965.

1. 序論

この文書は、~HTTPの `Cookie^h と `Set-Cookie^h ~headerを定義する。 ~HTTP~serverは、 `Set-Cookie^h ~headerを利用して，~cookieと呼ばれる［ ( 名前, 値 ) が成す~pairと, それに結付けられた~metadata ］を~UAに渡すことができる。 ~UAは、~serverへ後続な要請を為す際に，その~metadataと他の情報を利用して ( 名前, 値 ) が成す~pairを `Cookie^h ~header内に返すかどうか決定する。 ◎ This document defines the HTTP Cookie and Set-Cookie header fields. Using the Set-Cookie header field, an HTTP server can pass name/value pairs and associated metadata (called cookies) to a user agent. When the user agent makes subsequent requests to the server, the user agent uses the metadata and other information to determine whether to return the name/value pairs in the Cookie header.

【 “~header” ：正式には “~header~field（ `header field^en ）” だが、この訳では一律に “~header” と略記する。】

見かけの単純さに反し、~cookieはいくつかの複階性を~~孕んでいる。例えば，~serverは、~UAに向けて送信する各~cookieごとに，その視野を指示する。この視野は、［ ~UAが~cookieを返すべき期間, ~UAが~cookieを返すべき~server, ~cookieを適用-可能な~URI~scheme ］を指示する。 ◎ Although simple on their surface, cookies have a number of complexities. For example, the server indicates a scope for each cookie when sending it to the user agent. The scope indicates the maximum amount of time in which the user agent should return the cookie, the servers to which the user agent should return the cookie, and the URI schemes for which the cookie is applicable.

歴史的な理由から、~cookieは，~securityと~privacyに関わるいくつかの欠陥を~~孕んでいる。例えば~serverは、 `Secure$a 属性により［当の~cookieは “`~secure$な” 接続~用に意図されている］ことを指示できるが、それは，能動的~network攻撃者が居る下で完全性（ `integrity^en ）を供するものではない。同様に、~web~browserに利用される通例の “同一-生成元~施策” （ `same-origin policy^en ）により，異なる~portを介して検索取得される内容は互いに隔離されるにも関わらず、所与の~host用の~cookieは，同じ~host上のすべての~portにわたって共有される。 ◎ For historical reasons, cookies contain a number of security and privacy infelicities. For example, a server can indicate that a given cookie is intended for "secure" connections, but the Secure attribute does not provide integrity in the presence of an active network attacker. Similarly, cookies for a given host are shared across all the ports on that host, even though the usual "same-origin policy" used by web browsers isolates content retrieved via different ports.

この仕様の対象読者は、 ~cookieを生成する~serverの開発者と~cookieを消費する~UAの開発者である。 ◎ There are two audiences for this specification: developers of cookie-generating servers and developers of cookie-consuming user agents.

~UAとの相互運用能を最大化するため、~serverは，自らを`~server要件§に定義される~well-behaved-profileに制限する下で~cookieを生成するベキである。 ◎ To maximize interoperability with user agents, servers SHOULD limit themselves to the well-behaved profile defined in Section 4 when generating cookies.

~UAは、`~server要件§に定義される~well-behaved-profileに適合しない既存の~serverとの相互運用能を最大化するため、`~UA要件§に定義されるより~~寛容な処理~規則を実装しなければナラナイ。 ◎ User agents MUST implement the more liberal processing rules defined in Section 5, in order to maximize interoperability with existing servers that do not conform to the well-behaved profile defined in Section 4.

この文書は、これらの~headerの構文と意味論を，~internetにおける実際の利用に沿うように指定する。特に、この文書は，今日利用-中にあるものを超える新たな構文や意味論を創出するものではない。 `~server要件§に与える，~cookie生成についての推奨は、現在の~serverの挙動を成す好ましい~subsetを表現する。 `~UA要件§にて与える，より~~寛容な~cookie処理~algoは、今日利用-中にある［構文や意味論の~variation ］を成すすべてを推奨するものではない。この文書では、一部の既存の~softwareにおける，推奨される~protocolとの有意な差異についても説明する。 ◎ This document specifies the syntax and semantics of these headers as they are actually used on the Internet. In particular, this document does not create new syntax or semantics beyond those in use today. The recommendations for cookie generation provided in Section 4 represent a preferred subset of current server behavior, and even the more liberal cookie processing algorithm provided in Section 5 does not recommend all of the syntactic and semantic variations in use today. Where some existing software differs from the recommended protocol in significant ways, the document contains a note explaining the difference.

この文書~以前に、少なくとも 3 つの，~cookieについて述べた文書がある：いわゆる "Netscape ~cookie仕様" `Netscape$r, RFC 2109 `RFC2109$r, RFC 2965 `RFC2965$r 。しかしながら、これらのどの文書も `Cookie^h ~headerと `Set-Cookie^h ~headerが~internet上で実際にどう利用されているかについて述べていない（歴史的な文脈については `Kri2001$r を見よ）。 ~HTTP状態~管理の仕組みについて述べている，以前の IETF 仕様に関連して、この文書は以下を要請する： ◎ Prior to this document, there were at least three descriptions of cookies: the so-called "Netscape cookie specification" [Netscape], RFC 2109 [RFC2109], and RFC 2965 [RFC2965]. However, none of these documents describe how the Cookie and Set-Cookie headers are actually used on the Internet (see [Kri2001] for historical context). In relation to previous IETF specifications of HTTP state management mechanisms, this document requests the following actions:

`RFC2109$r の位置付けを Historic （歴史的）に変更する（これは `RFC2965$r により，すでに廃用にされている）。 ◎ Change the status of [RFC2109] to Historic (it has already been obsoleted by [RFC2965]).
`RFC2965$r の位置付けを Historic に変更する。 ◎ Change the status of [RFC2965] to Historic.
`RFC2965$r は、この文書により廃用にされる。 ◎ Indicate that [RFC2965] has been obsoleted by this document.

特に、 `RFC 2965$r を Historic に移行して廃用にするに伴い、この文書は `Cookie2^h, `Set-Cookie2^h 両~headerを非推奨にする。 ◎ In particular, in moving RFC 2965 to Historic and obsoleting it, this document deprecates the use of the Cookie2 and Set-Cookie2 header fields.

2. 表記規約

【この訳に特有な表記規約】

◎表記記号

この訳では、この仕様が公表された当時の~HTTP仕様（ `RFC2616$r ）を参照している箇所を，現在の中核~HTTP仕様~内の等価な記述を指すよう改めている。

2.1. 適合性の判定基準

この文書~内の~keyword "MUST" … 【以下、この段落の内容は~IETF日本語訳共通~pageに移譲。】 ◎ The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in [RFC2119].

【以下、この節の他の内容は ~IETF日本語訳共通~pageに移譲。】

2.2. 構文の記法

この仕様は `RFC5234$r による~ABNF（ Augmented Backus-Naur Form ）記法を利用する。 ◎ This specification uses the Augmented Backus-Naur Form (ABNF) notation of [RFC5234].

次の中核~規則が RFC 5234, Appendix B.1 にて定義されるものとして，参照される ⇒＃ `ALPHA^P （ `letters^en ）, `CR^P （ `carriage return^en ）, `CRLF^P （ CR LF ）, `CTL^P （制御文字）, `DIGIT^P （ 10 進数字 0-9 ）, `DQUOTE^P （二重引用符）, `HEXDIG^P （ 16 進数字 0-9/A-F/a-f ）, `LF^P （ `line feed^en ）, `NUL^P （ null ~octet ）, `OCTET^P （ `NUL^P 以外の任意の 8-bit ~data列）, `SP^P （ `space^en ）, `HTAB^P （ `horizontal tab^en ）, `CHAR^P （【 `NUL^P 以外の】任意の `USASCII$r 文字）, `VCHAR^P （任意の可視 `USASCII$r 文字）, `WSP^P （空白【 `SP^P と `HTAB^P 】） ◎ The following core rules are included by reference, as defined in [RFC5234], Appendix B.1: ALPHA (letters), CR (carriage return), CRLF (CR LF), CTLs (controls), DIGIT (decimal 0-9), DQUOTE (double quote), HEXDIG (hexadecimal 0-9/A-F/a-f), LF (line feed), NUL (null octet), OCTET (any 8-bit sequence of data except NUL), SP (space), HTAB (horizontal tab), CHAR (any [USASCII] character), VCHAR (any visible [USASCII] character), and WSP (whitespace).

`OWS$p （省略可能な空白）規則は、 0 個以上の連続する空白が現れてもヨイ場所に利用される： ◎ The OWS (optional whitespace) rule is used where zero or more linear whitespace characters MAY appear:

`OWS@p
	= *( [ `obs-fold$p ] WSP )
	; 
省略可能な空白
◎
optional whitespace

`obs-fold@p
	= CRLF

`OWS$p は、空（生産されない）または 1 個の `SP^P 文字として生産されるベキである。 ◎ OWS SHOULD either not be produced or be produced as a single SP character.

2.3. 各種用語

次に挙げる用語の意味は、 HTTP/1.1 仕様（ `2616/1.3$rfc 【（改訂-下にある）~HTTP仕様の § 各種用語】）に従う ⇒ ~UA, ~client, ~server, 【！~proxy 利用されていない,】生成元~server ◎ The terms user agent, client, server, proxy, and origin server have the same meaning as in the HTTP/1.1 specification ([RFC2616], Section 1.3).

`要請~host@ とは、~UAが［ ~HTTP要請を送信している相手, あるいはそれに対する~HTTP応答を受信した相手］として，~UAに既知な~host名を~~意味する。 ◎ The request-host is the name of the host, as known by the user agent, to which the user agent is sending an HTTP request or from which it is receiving an HTTP response (i.e., the name of the host to which it sent the corresponding HTTP request).

用語 `要請~URI@ （ `request-uri^en ）は、 `2616/5.1.2$rfc にて定義される。【`~target~URI$と同義。】 ◎ The term request-uri is defined in Section 5.1.2 of [RFC2616].

2 個の［ ~octet列］は、 `RFC4790$r にて定義される `i;ascii-casemap collation^en の下に等価であるとき, そのときに限り， `文字大小無視で合致する@ とされる。【 ASCII 範囲の~octetの， a-z, A-Z の範囲の文字のみ、文字の大小を区別せずに，対応する文字を同一視する。】 ◎ Two sequences of octets are said to case-insensitively match each other if and only if they are equivalent under the i;ascii-casemap collation defined in [RFC4790].

`文字列@ とは、 `NUL^P を含まない~octet列を意味する。【したがって、語 “文字” も， 1 個の~octetを意味する。また、空~文字列は，長さ 0 の`文字列$を意味する。】 ◎ The term string means a sequence of non-NUL octets.

3. 概観

この節では、生成元~serverが状態~情報を~UAに向けて送信する仕方, および~UAがその状態~情報を生成元~serverに返す仕方，について要旨する。 ◎ This section outlines a way for an origin server to send state information to a user agent and for the user agent to return the state information to the origin server.

生成元~serverは、~UAに状態を格納させるために，~HTTP応答に `Set-Cookie^h ~headerを内包する。 ~UAは，後続な要請において、［以前に `Set-Cookie^h ~headerで受信した~cookieを包含する `Cookie^h 要請~header ］を生成元~serverに返す。生成元~serverは、その `Cookie^h ~headerを無視しても, その内容を応用が定義する目的に利用してもかまわない。 ◎ To store state, the origin server includes a Set-Cookie header in an HTTP response. In subsequent requests, the user agent returns a Cookie request header to the origin server. The Cookie header contains cookies the user agent received in previous Set-Cookie headers. The origin server is free to ignore the Cookie header or use its contents for an application-defined purpose.

生成元~serverは、どの応答にも `Set-Cookie^h 応答~headerを送信してヨイ。 ~UAは、応答が包含する `Set-Cookie^h ~headerを，応答の`状態s~code$が `100 番台$である場合は無視してもヨイが，他の場合は（ `400 番台$, `500 番台$も含む）処理しなければナラナイ。生成元~serverは、単独の応答に複数の `Set-Cookie^h ~headerを内包できる。 `Cookie^h や `Set-Cookie^h ~headerが在っても，~HTTP~cacheが応答を格納したり再利用する~~妨げにはならない。 ◎ Origin servers MAY send a Set-Cookie response header with any response. User agents MAY ignore Set-Cookie headers contained in responses with 100-level status codes but MUST process Set-Cookie headers contained in other responses (including responses with 400- and 500-level status codes). An origin server can include multiple Set-Cookie header fields in a single response. The presence of a Cookie or a Set-Cookie header field does not preclude HTTP caches from storing and reusing a response.

生成元~serverは、単独の~header内に，複数の `Set-Cookie^h ~header値を畳込むベキでない。 ~headerを畳込む通例の仕組み（ `RFC2616$r にて定義される）【`~headerの結合-法$ 】は、 `Set-Cookie^h における `,^ch の利用と競合するので， `Set-Cookie^h ~headerの意味論を変更し得る。 ◎ Origin servers SHOULD NOT fold multiple Set-Cookie header fields into a single header field. The usual mechanism for folding HTTP headers fields (i.e., as defined in [RFC2616]) might change the semantics of the Set-Cookie header field because the %x2C (",") character is used by Set-Cookie in a way that conflicts with such folding.

3.1. 例

~serverは、~UAへの~HTTP応答に `Set-Cookie^h ~headerを利用して，短い`文字列$を送信できる — ~UAは、その~cookieの視野に入る未来の~HTTP要請において，その文字列を返すことになる。例えば，~serverは、 ( 名前 `SID^s, 値 `31d4d96e407aad42^s ) の “~session識別子” を，~UAに向けて送信できる。 ~UAは、後続な要請にて，その~session識別子を返すことになる： ◎ Using the Set-Cookie header, a server can send the user agent a short string in an HTTP response that the user agent will return in future HTTP requests that are within the scope of the cookie. For example, the server can send the user agent a "session identifier" named SID with the value 31d4d96e407aad42. The user agent then returns the session identifier in subsequent requests.

== ~server → ~UA ==

Set-Cookie: SID=31d4d96e407aad42

== ~UA → ~server ==

Cookie: SID=31d4d96e407aad42

~serverは、 `Path$a, `Domain$a 属性を利用して，~cookieの既定の視野を改めれる。例えば~serverは、［ `example.com^s のどの~pathに対しても, あるいはどの下位domainに対しても，その~cookieを返す］よう，~UAに指図できる： ◎ The server can alter the default scope of the cookie using the Path and Domain attributes. For example, the server can instruct the user agent to return the cookie to every path and every subdomain of example.com.

== ~server → ~UA ==

Set-Cookie: SID=31d4d96e407aad42; Path=/; Domain=example.com

== ~UA → ~server ==

Cookie: SID=31d4d96e407aad42

次の例に示されるように、~serverは，複数の~cookieを~UA側に格納できる。例えば，~serverは、 2 個の `Set-Cookie^h ~headerを返すことにより、~session識別子と同時に，利用者が選好する言語も格納できる。 ~serverは、より~securityに敏感な~session識別子~用には，追加的な保護を供する［ `Secure$a, `HttpOnly$a ］`属性$【！（ § 4.1.2 ）】を利用することに注意： ◎ As shown in the next example, the server can store multiple cookies at the user agent. For example, the server can store a session identifier as well as the user's preferred language by returning two Set-Cookie header fields. Notice that the server uses the Secure and HttpOnly attributes to provide additional security protections for the more sensitive session identifier (see Section 4.1.2.)

== ~server → ~UA ==

Set-Cookie: SID=31d4d96e407aad42; Path=/; Secure; HttpOnly
Set-Cookie: lang=en-US; Path=/; Domain=example.com

== ~UA → ~server ==

Cookie: SID=31d4d96e407aad42; lang=en-US

上の `Cookie^h ~headerには、 2 個の~cookie — 名前 `SID^l, および名前 `lang^l の~cookie — が含まれていることに注意。 ~UAの “複数~session” に渡って（例えば~UAの再起動を挟んで）~cookieを持続させたいと望むなら、~serverは， `Expires$a 属性にその有効期限を指定できる。 ~UAは、自身の`~cookie保管庫$の総容量が割当分を超過した場合や，利用者が手動で~serverの~cookieを削除した場合など、有効期限が過ぎる前に~cookieを削除し得ることに注意。 ◎ Notice that the Cookie header above contains two cookies, one named SID and one named lang. If the server wishes the user agent to persist the cookie over multiple "sessions" (e.g., user agent restarts), the server can specify an expiration date in the Expires attribute. Note that the user agent might delete the cookie before the expiration date if the user agent's cookie store exceeds its quota or if the user manually deletes the server's cookie.

== ~server → ~UA ==

Set-Cookie: lang=en-US; Expires=Wed, 09 Jun 2021 10:18:14 GMT

== ~UA → ~server ==

Cookie: SID=31d4d96e407aad42; lang=en-US

最後に，~cookieを除去するためには、~serverは，有効期限を過去にした `Set-Cookie^h ~headerを返す。これが成功するのは、 `Set-Cookie^h ~header内の［ `Path$a, `Domain$a ］両~属性とも，~cookieの作成-時に利用した値に合致するときに限られる。 ◎ Finally, to remove a cookie, the server returns a Set-Cookie header with an expiration date in the past. The server will be successful in removing the cookie only if the Path and the Domain attribute in the Set-Cookie header match the values used when the cookie was created.

== ~server → ~UA ==

Set-Cookie: lang=; Expires=Sun, 06 Nov 1994 08:49:37 GMT

== ~UA → ~server ==

Cookie: SID=31d4d96e407aad42

4. ~serverに課される要件

この節では、［ `Cookie^h ／ `Set-Cookie^h ］~headerの構文と意味論を成す ~well-behaved-profile 【既存の~server, ~UAの挙動から導出された， “きちんとした挙動” を成す描像】を述べる。 ◎ This section describes the syntax and semantics of a well-behaved profile of the Cookie and Set-Cookie headers.

5. ~UAに課される要件

この節では、 `Cookie^h と `Set-Cookie^h ~headerについて、これらの要件を精確に実装する~UAが（~serverが`~server要件§に述べた~well-behaved-profileに適合しなくても），既存の~serverと相互運用できるに足る詳細を指定する。 ◎ This section specifies the Cookie and Set-Cookie headers in sufficient detail that a user agent implementing these requirements precisely can interoperate with existing servers (even those that do not conform to the well-behaved profile described in Section 4).

~UAは、ここで指定されるものより多くの制約を施行し得る（例えば，~securityを改善するための）。しかしながら，その種の厳密さは、既存の~serverとの相互運用能を犠牲にするであろうことが実験から知られている。 ◎ A user agent could enforce more restrictions than those specified herein (e.g., for the sake of improved security); however, experiments have shown that such strictness reduces the likelihood that a user agent will be able to interoperate with existing servers.

5.1. 下位成分~algo

この節では、［ `Cookie^h ／ `Set-Cookie^h ］~headerを成す特定の下位成分を処理するために~UAが利用する，いくつかの~algoを定義する。【これらの~algoは、後続の節から参照される。】 ◎ This section defines some algorithms used by user agents to process specific subcomponents of the Cookie and Set-Cookie headers.

5.3. 保管~model

~UAは、受信した~cookieを格納するための大域的な `~cookie保管庫@ （ `cookie store^en ）を保守する。 `~cookie保管庫$を成す各~cookieは、次に挙げる~fieldからなる ⇒＃ `name@cK, `value@cK, `expiry-time@cK, `domain@cK, `path@cK, `creation-time@cK, `last-access-time@cK, `persistent-flag@cK, `host-only-flag@cK, `secure-only-flag@cK, `http-only-flag@cK ◎ The user agent stores the following fields about each cookie: name, value, expiry-time, domain, path, creation-time, last-access-time, persistent-flag, host-only-flag, secure-only-flag, and http-only-flag.

~UAは、`要請~URI$から ( 名前: %~cookie名, 値: %~cookie値, 属性~list: %~cookie属性~list ) を伴う`~cookieを受信した$ときは、その~cookieを，次に従って処理しなければナラナイ（この~algoの最後の段に達する前に現れる ~RET は、受信した~cookieをまるごと無視することを意味する）： ◎ When the user agent "receives a cookie" from a request-uri with name cookie-name, value cookie-value, and attributes cookie-attribute-list, the user agent MUST process the cookie as follows:

~UAは次をしてもヨイ ⇒ ~RET — 例えば~UAは、 “第三者-主体” からの応答に伴って受信した~cookieを阻止したいと望んだり，何らかの~sizeを超える~cookieを格納したいと望まないかもしれない。 ◎ A user agent MAY ignore a received cookie in its entirety. For example, the user agent might wish to block receiving cookies from "third-party" responses or the user agent might not wish to store cookies that exceed some size.
%要請~host ~LET `~host名を正準-化する$( `要請~host$ ) ◎ ↓
%新~cookie ~LET 次のように設定された新たな~cookie ⇒＃ `name$cK ~SET %~cookie名, `value$cK ~SET %~cookie値, `expiry-time$cK ~SET ~UAが表現-可能な最も~~未来の日付, `domain$cK ~SET %要請~host, `path$cK ~SET `要請~URI$の`既定の~path$, `creation-time$cK ~SET 現在の日時, `last-access-time$cK ~SET 現在の日時, `persistent-flag$cK ~SET ~F, `host-only-flag$cK ~SET ~T, `secure-only-flag$cK ~SET ~F, `http-only-flag$cK ~SET ~F ◎ Create a new cookie with name cookie-name, value cookie-value. Set the creation-time and the last-access-time to the current date and time.

【 ~logicを単純化するため，この訳では、予め，~cookieの全~fieldを “既定の値” に初期化する。】
~IF［ %~cookie属性~list 内に名前 `Max-Age$a の属性は在る］ ⇒＃ %新~cookie の `persistent-flag$cK ~SET ~T； %新~cookie の `expiry-time$cK ~SET ［該当する属性のうち %~cookie属性~list 内で最後のもの］の値 ◎ If the cookie-attribute-list contains an attribute with an attribute-name of "Max-Age": • Set the cookie's persistent-flag to true. • Set the cookie's expiry-time to attribute-value of the last attribute in the cookie-attribute-list with an attribute-name of "Max-Age".
~ELIF［ %~cookie属性~list 内に名前 `Expires$a の属性は在る］ ⇒＃ %新~cookie の `persistent-flag$cK ~SET ~T； %新~cookie の `expiry-time$cK ~SET ［該当する属性のうち %~cookie属性~list 内で最後のもの］の値 ◎ Otherwise, if the cookie-attribute-list contains an attribute with an attribute-name of "Expires" (and does not contain an attribute with an attribute-name of "Max-Age"): • Set the cookie's persistent-flag to true. • Set the cookie's expiry-time to attribute-value of the last attribute in the cookie-attribute-list with an attribute-name of "Expires". ◎ ↑↑Otherwise: • Set the cookie's persistent-flag to false. • Set the cookie's expiry-time to the latest representable date.
%~domain ~LET 空~文字列 ◎ ↓
~IF［ %~cookie属性~list 内に名前 `Domain$a の属性は在る］ ⇒ %~domain ~SET ［該当する属性のうち %~cookie属性~list 内で最後のもの］の値 ◎ If the cookie-attribute-list contains an attribute with an attribute-name of "Domain": • Let the domain-attribute be the attribute-value of the last attribute in the cookie-attribute-list with an attribute-name of "Domain". ◎ Otherwise: • Let the domain-attribute be the empty string.
~IF［ ~UAは`公共~接尾辞$を却下するように環境設定されている］~AND［ %~domain は`公共~接尾辞$である］： ◎ If the user agent is configured to reject "public suffixes" and the domain-attribute is a public suffix:
1. ~IF［ %~domain ~NEQ %要請~host ］ ⇒ ~RET ◎ If the domain-attribute is identical to the canonicalized request-host: • Let the domain-attribute be the empty string. ◎ Otherwise: • Ignore the cookie entirely and abort these steps.
2. %~domain ~SET 空~文字列 ◎ ↑
注記： `公共~接尾辞@ （ `public suffix^en ）は、公共~registryにて制御されている~domainである（例： `com^s, `co.uk^s, `pvt.k12.wy.us^s ）【！参考： `URL^r 仕様に定義される公共~接尾辞】。この段は、公共~接尾辞（例： `com^s ）の下位domain（例： `attacker.com^s ）に居る攻撃者が，［その接尾辞を値にとる `Domain$a 属性］を伴う~cookieを設定することにより［別の下位domain（例： `example.com^s ）の完全性を侵害すること］を防ぐために本質的である。あいにく，公共~接尾辞の集合（ “`registry controlled domains^en（~registryにより制御される~domain）” とも呼ばれる）は、時間~越しに変化している。 ~UAは、実現可能なら，最新な`公共~接尾辞$の~list — `Mozilla project^en により http://publicsuffix.org にて保守されているものなど — を利用するベキである。 ◎ NOTE: A "public suffix" is a domain that is controlled by a public registry, such as "com", "co.uk", and "pvt.k12.wy.us". This step is essential for preventing attacker.com from disrupting the integrity of example.com by setting a cookie with a Domain attribute of "com". Unfortunately, the set of public suffixes (also known as "registry controlled domains") changes over time. If feasible, user agents SHOULD use an up-to-date public suffix list, such as the one maintained by the Mozilla project at <http://publicsuffix.org/>.
~IF［ %~domain ~NEQ 空~文字列］： ◎ If the domain-attribute is non-empty:
1. ~IF［ ( %要請~host, %~domain ) は`~domain合致して$いない］ ⇒ ~RET ◎ If the canonicalized request-host does not domain-match the domain-attribute: • Ignore the cookie entirely and abort these steps.
2. %新~cookie の `host-only-flag$cK ~SET ~F ◎ Otherwise: • Set the cookie's host-only-flag to false.
3. %新~cookie の `domain$cK ~SET %~domain ◎ • Set the cookie's domain to the domain-attribute.
~IF［ %~cookie属性~list 内に名前 `Path$a の属性は在る］ ⇒ %新~cookie の `path$cK ~SET ［該当する属性のうち %~cookie属性~list 内で最後のもの］の値 ◎ ↑↑Otherwise: • Set the cookie's host-only-flag to true. • Set the cookie's domain to the canonicalized request-host. ◎ If the cookie-attribute-list contains an attribute with an attribute-name of "Path", set the cookie's path to attribute-value of the last attribute in the cookie-attribute-list with an attribute-name of "Path".＼ ↑↑Otherwise, set the cookie's path to the default-path of the request-uri.
~IF［ %~cookie属性~list 内に名前 `Secure$a の属性は在る］：
1. ~IF［ `要請~URI$の~schemeは “`~secure$な” ~protocolを表すものでない］ ⇒ ~RET
2. %新~cookie の `secure-only-flag$cK ~SET ~T
◎ If the cookie-attribute-list contains an attribute with an attribute-name of "Secure", set the cookie's secure-only-flag to true.＼ ↑↑Otherwise, set the cookie's secure-only-flag to false.
%非~HTTP~APIか ~LET ~IS［ %新~cookie は`非HTTP~API$から受信された【~UAは、非HTTP~APIを介して設定された`~cookieを受信した$かのように挙動している】］ ◎ ↓
~IF［ %~cookie属性~list 内に名前 `HttpOnly$a の属性は在る］：
1. ~IF［ %非~HTTP~APIか ~EQ ~T ］ ⇒ ~RET
2. %新~cookie の `http-only-flag$cK ~SET ~T
◎ If the cookie-attribute-list contains an attribute with an attribute-name of "HttpOnly", set the cookie's http-only-flag to true.＼ ↑↑Otherwise, set the cookie's http-only-flag to false. ◎ If the cookie was received from a "non-HTTP" API and the cookie's http-only-flag is set, abort these steps and ignore the cookie entirely.
~IF［ `~cookie保管庫$内に［ `name$cK, `domain$cK, `path$cK ］すべて†が %新~cookie と一致する~cookie %旧~cookie が在る（この~algoは、そのような~cookieは在っても 1 個に限られる，という不変則を、常に保守することに注意）］： ◎ If the cookie store contains a cookie with the same name, domain, and path as the newly created cookie: • Let old-cookie be the existing cookie with the same name, domain, and path as the newly created cookie. (Notice that this algorithm maintains the invariant that there is at most one such cookie.)

【† ほとんどの~browser~UAは、 `host-only-flag$cK も一致することを要求している（課題 #199：この仕様の次の改訂は、そうなると見込まれる）。】
1. ~IF［ %非~HTTP~APIか ~EQ ~T ］~AND［ %旧~cookie の `http-only-flag$cK ~EQ ~T ］ ⇒ ~RET ◎ If the newly created cookie was received from a "non-HTTP" API and the old-cookie's http-only-flag is set, abort these steps and ignore the newly created cookie entirely.
2. %新~cookie の `creation-time$cK ~SET %旧~cookie の `creation-time$cK ◎ Update the creation-time of the newly created cookie to match the creation-time of the old-cookie.
3. `~cookie保管庫$から %旧~cookie を除去する ◎ Remove the old-cookie from the cookie store.
`~cookie保管庫$に %新~cookie を挿入する ◎ Insert the newly created cookie into the cookie store.

~cookieの有効期限が過去である／そうなったとき、その~cookieは `失効した@ （ `expired^en ）とされる。 ◎ A cookie is "expired" if the cookie has an expiry date in the past.

どの時点であれ，~UAは、`~cookie保管庫$内の~cookieのうち`失効した$ものすべてを保管庫から抹消しなければナラナイ。 ◎ The user agent MUST evict all expired cookies from the cookie store if, at any time, an expired cookie exists in the cookie store.

どの時点であれ，~UAは：

同じ `domain$cK ~field値を共有する~cookieの総数が，実装~定義な何らかの~~上限（例えば 50 ~cookie）を超えたときは、`~cookie保管庫$から “超過~cookieを除去して” もヨイ。 ◎ At any time, the user agent MAY "remove excess cookies" from the cookie store if the number of cookies sharing a domain field exceeds some implementation-defined upper bound (such as 50 cookies).
`~cookie保管庫$の容量が，実装~定義な何らかの~~上限（例えば 3000 ~cookie）を超えたときは、`~cookie保管庫$から “超過~cookieを除去して” もヨイ。 ◎ At any time, the user agent MAY "remove excess cookies" from the cookie store if the cookie store exceeds some predetermined upper bound (such as 3000 cookies).

~UAが，`~cookie保管庫$から超過~cookieを除去するときは、次の優先順位により，~cookieを抹消しなければナラナイ： ◎ When the user agent removes excess cookies from the cookie store, the user agent MUST evict cookies in the following priority order:

`失効した$もの ◎ Expired cookies.
同じ `domain$cK ~field値を共有する~cookieのうち、決められた個数を超えた分

【共有する~cookieのうち，どれを抹消するかは、次項に従うことになる。また， “決められた個数” は、 `domain$cK に応じて異なる可能性も考えられる。】
◎ Cookies that share a domain field with more than a predetermined number of other cookies.
`last-access-time$cK が最も過去の~cookie ◎ All cookies. ◎ If two cookies have the same removal priority, the user agent MUST evict the cookie with the earliest last-access date first.

~UAは、（自身が定義する）現在の~sessionの終了時に、`~cookie保管庫$から，次を満たす~cookieすべてを除去しなければナラナイ ⇒ `persistent-flag$cK ~EQ ~F ◎ When "the current session is over" (as defined by the user agent), the user agent MUST remove from the cookie store all cookies with the persistent-flag set to false.

6. 実装-時の考慮点

6.1. 制限s

実用的な~UA実装には、格納し得る~cookieの個数と~sizeに制限sがある。一般用~UAは、最小でも次に与える容量は供するベキである： ◎ Practical user agent implementations have limits on the number and size of cookies that they can store. General-use user agents SHOULD provide each of the following minimum capabilities:

1 ~cookieあたり，少なくとも 4096 ~byte（~cookieの［名前, 値, 属性たち］の長さの総和で） ◎ At least 4096 bytes per cookie (as measured by the sum of the length of the cookie's name, value, and attributes).
1 ~domainあたり，少なくとも 50 個の~cookie ◎ At least 50 cookies per domain.
全部で少なくとも 3000 個の~cookie ◎ At least 3000 cookies total.

~serverは、これらの実装~制限sに達しないように, かつ［各要請に `Cookie^h ~headerが内包されることによる，~network帯域幅を最小限にする］ために，できるだけ少数かつ小容量の~cookieを利用するベキである。 ◎ Servers SHOULD use as few and as small cookies as possible to avoid reaching these implementation limits and to minimize network bandwidth due to the Cookie header being included in every request.

~UAは利用者からの~~指示により~cookieを抹消し得るので、~serverは、 ~UAが `Cookie^h ~header内に 1 個以上の~cookieを返すことに失敗したときには， “上品に退行する（ `gracefull degrade^en ）”ベキである。 ◎ Servers SHOULD gracefully degrade if the user agent fails to return one or more cookies in the Cookie header because the user agent might evict any cookie at any time on orders from the user.

6.2. ~API

`Cookie^h と `Set-Cookie^h ~headerが，このような込み入った構文を利用する理由の一つは、多くの~platform（~serverと~UAのいずれも）が，~cookieに対する文字列に基づく~API【！`application programming interface^en】を供する結果、応用~層の~programmerたちに，［ `Cookie^h, `Set-Cookie^h ］~headerに利用される構文を生成したり構文解析することを要求するからである。その結果、多くの~programmerから正しく実装されず，相互運用能の問題が生じている。 ◎ One reason the Cookie and Set-Cookie headers use such esoteric syntax is that many platforms (both in servers and user agents) provide a string-based application programming interface (API) to cookies, requiring application-layer programmers to generate and parse the syntax used by the Cookie and Set-Cookie headers, which many programmers have done incorrectly, resulting in interoperability problems.

~platformが、~cookieに対し文字列に基づく~APIを供する代わりに，より意味論上の~APIを供するなら、きちんと~serveされることになろう。特定の~API設計を推奨することは，この文書の視野を超えるが、直列化された日付~文字列に代えて，抽象- “Date” ~objを受容することには、明瞭な便益がある。 ◎ Instead of providing string-based APIs to cookies, platforms would be well-served by providing more semantic APIs. It is beyond the scope of this document to recommend specific API designs, but there are clear benefits to accepting an abstract "Date" object instead of a serialized date string.

6.3. ~IDNAへの依存関係と移行

IDNA2008 `RFC5890$r は IDNA2003 に `RFC3490$r 取って代わる。しかしながら，この 2 つの仕様には相違点があるため、一方の下に登録された~domain名~labelと，もう一方の下に登録されたそれとの間で、処理に違いが生じ得る（例えば変換）。 IDNA2003 に基づく~domain名~labelが残り続ける間，ある程度の移行期間を要する。 ~UAは、その~IDNAの移行を手助けするために， IDNA2008 `RFC5890$r を実装するベキであり、また， `UTS46$r または `RFC5895$r を実装してもヨイ。 IDNA2008 を実装しない~UAは， IDNA2003 `RFC3490$r を実装しなければナラナイ。 ◎ IDNA2008 [RFC5890] supersedes IDNA2003 [RFC3490]. However, there are differences between the two specifications, and thus there can be differences in processing (e.g., converting) domain name labels that have been registered under one from those registered under the other. There will be a transition period of some time during which IDNA2003-based domain name labels will exist in the wild. User agents SHOULD implement IDNA2008 [RFC5890] and MAY implement [UTS46] or [RFC5895] in order to facilitate their IDNA transition. If a user agent does not implement IDNA2008, the user agent MUST implement IDNA2003 [RFC3490].

7. ~privacyの考慮点

~cookieは、~serverによる利用者の追跡を~~許すことから，批判されることも多い。例えば，いくつもの “~web解析” 会社が、［利用者がいつ~web~siteに戻って来て，いつ別の~web~siteを訪問したか］を見分けるために，~cookieを利用する。 ~cookieは，複数の~HTTP要請に渡って利用者を追跡するために~serverが利用できる唯一の仕組みではないが、 ~UAの~sessionに渡って持続的であり，かつ~host間で共有し得ることから、追跡を手助けするものではある。 ◎ Cookies are often criticized for letting servers track users. For example, a number of "web analytics" companies use cookies to recognize when a user returns to a web site or visits another web site. Although cookies are not the only mechanism servers can use to track users across HTTP requests, cookies facilitate tracking because they are persistent across user agent sessions and can be shared between hosts.

7.1. 第三者-主体による~cookie

とりわけ厄介なものは、“第三者-主体（ `third-party^en ）” ~cookieと呼ばれるものである。 ~UAは、~HTML文書を具現化する際に，他の~server（広告~networkなど）からの資源を要請することが多い。これらの第三者-主体~serverは、利用者が~serverを直に訪問したことが一度もなくても，利用者の追跡に~cookieを利用できる。例えば、利用者が第三者-主体が~~供する内容を包含している~siteを訪問した後，同じ第三者-主体が~~供する内容を包含している別~siteを訪問した場合、その第三者-主体は， 2 つの~site間で利用者を追跡できる。 ◎ Particularly worrisome are so-called "third-party" cookies. In rendering an HTML document, a user agent often requests resources from other servers (such as advertising networks). These third-party servers can use cookies to track the user even if the user never visits the server directly. For example, if a user visits a site that contains content from a third party and then later visits another site that contains content from the same third party, the third party can track the user between the two sites.

一部の~UAは、第三者-主体~cookieの挙動を制約する。例えば、第三者-主体へ向けた要請~内の `Cookie^h ~headerの送信を拒否する, あるいは、第三者-主体への要請に対する応答~内の `Set-Cookie^h ~headerの処理を拒否する~UAもある。そのような，~UAによる第三者-主体~cookie用の施策は、広範に渡る。この文書は、［利用者~privacy, 互換性］の必要性の兼ね合いを図るための，~UAによる第三者-主体~cookieに対する施策の実験に対し，~~寛容さをもって是認するが、特定0のいかなる第三者-主体~cookie施策も，承認するものではない。 ◎ Some user agents restrict how third-party cookies behave. For example, some of these user agents refuse to send the Cookie header in third-party requests. Others refuse to process the Set-Cookie header in responses to third-party requests. User agents vary widely in their third-party cookie policies. This document grants user agents wide latitude to experiment with third-party cookie policies that balance the privacy and compatibility needs of their users. However, this document does not endorse any particular third-party cookie policy.

第三者-主体~cookieの阻止-法~施策は、利用者の追跡にかけられた制約を~serverがすり抜ける試みに対しては，その~privacy目標を達成するには有効果でないことが多い。特に，協同する 2 つの~serverは、識別情報を動的~URLに注入することにより，~cookieをまったく利用せずに利用者を追跡できることが多い。 ◎ Third-party cookie blocking policies are often ineffective at achieving their privacy goals if servers attempt to work around their restrictions to track users. In particular, two collaborating servers can often track users without using cookies at all by injecting identifying information into dynamic URLs.

7.2. 利用者-制御

~UAは、`~cookie保管庫$に格納されている~cookieを管理するための仕組みを，利用者に供するベキである。例えば、~cookieのうち［指定された期間内に受信されたもの／特定0の~domainに関係するもの］すべてを，利用者が削除できるようにするなど。多くの~UAは、利用者が`~cookie保管庫$に格納されている~cookieを精査できるような~UIを備えている。 ◎ User agents SHOULD provide users with a mechanism for managing the cookies stored in the cookie store. For example, a user agent might let users delete all cookies received during a specified time period or all the cookies related to a particular domain. In addition, many user agents include a user interface element that lets users examine the cookies stored in their cookie store.

~UAは、~cookieを不能化する仕組みを，利用者に供するベキである。 ~cookieが不能化されている場合、~UAは ⇒＃ ~serverへの~HTTP要請に `Cookie^h ~headerを内包してはナラナイ／ ~serverからの~HTTP応答~内の `Set-Cookie^h ~headerを処理してはナラナイ ◎ User agents SHOULD provide users with a mechanism for disabling cookies. When cookies are disabled, the user agent MUST NOT include a Cookie header in outbound HTTP requests and the user agent MUST NOT process Set-Cookie headers in inbound HTTP responses.

一部の~UAは、複数~sessionにわたる~cookieの持続的な保管を防ぐ~optionを，利用者に供する。そのように環境設定されている場合、~UAは，受信したすべての~cookieを［その `persistent-flag$cK は ~F にされていた］かのように扱わなければナラナイ。一部の普及している~UAは、この機能性を “私的~閲覧~mode” を介して公開している `Aggarwal2010$r 。 ◎ Some user agents provide users the option of preventing persistent storage of cookies across sessions. When configured thusly, user agents MUST treat all received cookies as if the persistent-flag were set to false. Some popular user agents expose this functionality via "private browsing" mode [Aggarwal2010].

一部の~UAは、［ `~cookie保管庫$への個々の書込nについて，その是非を~~設定する能］を利用者に供する。共通的な多くの利用e局面において、これらの制御は，多数の入力指示を生成する。それでもなお、~privacy意識の高い一部の利用者は，これらの制御に有用さを見いだす。 ◎ Some user agents provide users with the ability to approve individual writes to the cookie store. In many common usage scenarios, these controls generate a large number of prompts. However, some privacy-conscious users find these controls useful nonetheless.

7.3. 有効期限

~serverは，~cookieの有効期限を遠い未来に設定できるが、ほとんどの~UAは，実際に~cookieを何十年も維持することはない。 ~serverは、無用に長い有効期間を設定せずに，~cookieの目的に基づく，適度な有効期間にすることにより、利用者~privacyを~~向上させるベキである。例えば，~session識別子の代表的な期限は、 2 週間くらいが適度であろう。 ◎ Although servers can set the expiration date for cookies to the distant future, most user agents do not actually retain cookies for multiple decades. Rather than choosing gratuitously long expiration periods, servers SHOULD promote user privacy by selecting reasonable cookie expiration periods based on the purpose of the cookie. For example, a typical session identifier might reasonably be set to expire in two weeks.

8. ~securityの考慮点

8.1. 概観

~cookieには、~security上の陥穽がいくつかある。この節では、その中で少数の，特に際立つ課題を概観する。 ◎ Cookies have a number of security pitfalls. This section overviews a few of the more salient issues.

~cookieは特に、認証における`~ambient権限$に依拠するよう開発者に促す結果， `~CSRF攻撃$ `CSRF$r に対する脆弱性に転じることが多い。また，~session識別子を~cookieに格納する際に、開発者は，~session固定化の脆弱性を生み出すことが多い。【！ http://security.c-inf.com/index.php?Session%20Fixation】 ◎ In particular, cookies encourage developers to rely on ambient authority for authentication, often becoming vulnerable to attacks such as cross-site request forgery [CSRF]. Also, when storing session identifiers in cookies, developers often create session fixation vulnerabilities.

【 `~ambient権限@ — 環境から暗黙的に（一律に）与えられる権限：参考】【 `~CSRF攻撃@ （ `Cross-Site Request Forgery^en ／ ~siteをまたがる要請の偽造）：参考】【 ~session固定化（ `session fixation^en ）：参考】

~cookie~protocolには，それ自体に様々な脆弱性があるので（下の`機密性の弱点§, `完全性の弱点§を見よ）、 ~HTTPSに使役されるような~transport層の暗号化は，~network攻撃者が被害者の~cookieを得する／改めるのを防ぐには不足である。加えて，既定では、~cookieは — たとえ~HTTPSと併用されていたとしても — ~network攻撃者に抗する機密性や完全性を供さない。 ◎ Transport-layer encryption, such as that employed in HTTPS, is insufficient to prevent a network attacker from obtaining or altering a victim's cookies because the cookie protocol itself has various vulnerabilities (see "Weak Confidentiality" and "Weak Integrity", below). In addition, by default, cookies do not provide confidentiality or integrity from network attackers, even when used in conjunction with HTTPS.

8.2. ~ambient権限

利用者の認証に~cookieを利用する~serverは、一部の~UAが，~remote主体による［ ~UAからの（例えば，~HTTP~redirectや~HTML~formを介した）~HTTP要請の発行- ］を~~放任するので、 ~security脆弱性に悩まされることになる。そのような~UAは、それらの要請を発行するときに — ~remote主体がその~cookieの内容を知らなくとも — ~cookieを添付してしまう。その結果、騙され易い~serverは，~remote主体から権限を行使され得ることになる。【~remote主体 — おそらく，第三者-主体と同義。】 ◎ A server that uses cookies to authenticate users can suffer security vulnerabilities because some user agents let remote parties issue HTTP requests from the user agent (e.g., via HTTP redirects or HTML forms). When issuing those requests, user agents attach cookies even if the remote party does not know the contents of the cookies, potentially letting the remote party exercise authority at an unwary server.

この~securityの懸念には，いくつか呼称があるが（例えば、`~CSRF攻撃$や “`confused deputy^en” † ）、その課題は，~cookieが`~ambient権限$の一形態である所から端を発する。 ~cookieは、（~URLの形をとる）対象の指名（ `designation^en ）と（~cookieの形をとる）対象への権限付与（ `authorization^en ）との分離を，~serverの運用者たちに促してしまう。その結果、~UAは，攻撃者が指名する資源に権限を給してしまい、~serverや~clientは，攻撃者により指名された行為を — 彼らが利用者から権限付与されたかのように — 引き受けてしまう可能性がある。 ◎ Although this security concern goes by a number of names (e.g., cross-site request forgery, confused deputy), the issue stems from cookies being a form of ambient authority. Cookies encourage server operators to separate designation (in the form of URLs) from authorization (in the form of cookies). Consequently, the user agent might supply the authorization for a resource designated by the attacker, possibly causing the server or its clients to undertake actions designated by the attacker as though they were authorized by the user.

~serverの運用者たちは、権限付与に~cookieを利用する代わりに，~URLを能力（ `capabilities^en ††）として扱うことにより、対象の指名と対象への権限付与とを絡めたいと考えるかもしれない。この~approachは、秘匿情報を~cookieに格納する代わりに~URLに格納して，~remote主体【！entity】が秘匿情報~自体を給することを要求する。この~approachは万能ではないが、この原理を思慮深く応用すれば，より堅牢な~securityへ導き得る。 ◎ Instead of using cookies for authorization, server operators might wish to consider entangling designation and authorization by treating URLs as capabilities. Instead of storing secrets in cookies, this approach stores secrets in URLs, requiring the remote entity to supply the secret itself. Although this approach is not a panacea, judicious application of these principles can lead to more robust security.

【 “`confused deputy^en” （混乱した使節の~~問題）：参考】【†† `capability^en — 能力に基づく~security（`~ambient権限$に対立する概念）：参考／参考（能力~URL）】

8.3. 平文~text

~secure~channel（ ~TLSなど）越しに送信されていない限り、 `Cookie^h と `Set-Cookie^h ~header内の情報は，平文のまま伝送される。 ◎ Unless sent over a secure channel (such as TLS), the information in the Cookie and Set-Cookie headers is transmitted in the clear.

これらの~headerにより運ばれる，~securityに敏感な情報すべてが、盗聴者に公開される。 ◎ All sensitive information conveyed in these headers is exposed to an eavesdropper.
悪意的な`媒介者$は，いずれの方向へ流れる~headerも改めれるため、予測-不能な結果になる。 ◎ A malicious intermediary could alter the headers as they travel in either direction, with unpredictable results.
悪意的な~clientは， `Cookie^h ~headerをその伝送-前に改めれるため、予測-不能な結果になる。 ◎ A malicious client could alter the Cookie header before transmission, with unpredictable results.

~serverは、~UAに向けて~cookieの内容を伝送する際には（~cookieを~secure~channel越しに送信するときでも）、（自身が欲する何らかの形式で）暗号化して署名するベキである。しかしながら，それだけでは、攻撃者による， ~UAから別の~UAへの~cookieの植え付け（ `transplanting^en ）や, 後の時点における~cookieの再現を防ぐことにはならない。 ◎ Servers SHOULD encrypt and sign the contents of cookies (using whatever format the server desires) when transmitting them to the user agent (even when sending the cookies over a secure channel). However, encrypting and signing cookie contents does not prevent an attacker from transplanting a cookie from one user agent to another or from replaying the cookie at a later time.

各~cookieごとに内容を暗号化して署名することに加えて、高~levelの~securityを要する~serverは、~secure~channel越しに限り `Cookie^h, `Set-Cookie^h ~headerを利用した上で，どの~cookieにも `Secure$a 属性【！ `4.1.2.5§ 】を設定するベキである。 ~serverが `Secure$a 属性を設定しない場合、~secure~channelにより供される保護は，ほぼ無意味と化すことになる。 ◎ In addition to encrypting and signing the contents of every cookie, servers that require a higher level of security SHOULD use the Cookie and Set-Cookie headers only over a secure channel. When using cookies over a secure channel, servers SHOULD set the Secure attribute (see Section 4.1.2.5) for every cookie. If a server does not set the Secure attribute, the protection provided by the secure channel will be largely moot.

例えば、~cookieの中に~session識別子を格納する~web~mail~serverがあって，概して ~HTTPS越しに~accessされるとする。 ~serverがその~cookieに `Secure$a 属性を設定しなかった場合、能動的~network攻撃者は、~UAからの任意の outbound ~HTTP要請を傍受して，~web~mail~serverに向けて，その要請を~HTTP越しに~redirectさせることが可能になる。 ~web~mail~serverが~HTTP接続を~listenしていなくても、依然として，~UAは【~redirectにおける】要請の中に~cookieを内包することになる。能動的~network攻撃者は、［これらの~cookieを傍受して，~serverに向けてそれらを再現する］ことにより，利用者の~mail内容を読むことが可能になる。 ~serverが `Secure$a 属性をその~cookieに設定していたなら、~UAはその~cookieを平文~textの要請の中に内包させはしないであろう。 ◎ For example, consider a webmail server that stores a session identifier in a cookie and is typically accessed over HTTPS. If the server does not set the Secure attribute on its cookies, an active network attacker can intercept any outbound HTTP request from the user agent and redirect that request to the webmail server over HTTP. Even if the webmail server is not listening for HTTP connections, the user agent will still include cookies in the request. The active network attacker can intercept these cookies, replay them against the server, and learn the contents of the user's email. If, instead, the server had set the Secure attribute on its cookies, the user agent would not have included the cookies in the clear-text request.

8.4. ~session識別子

~serverが、~session情報を（攻撃者に公開されたり, 再現され得る）~cookieに直に格納する代わりに，~nonce （ “`number used once^en （使い捨ての番号）” — ~~別名 “~session識別子” ）を~cookieに格納することが、共通的に行われている。 ~serverは、~nonceを伴う~HTTP要請を受信したとき，その~nonceを~keyに，その~cookieに結付けられた状態~情報を検索できる。 ◎ Instead of storing session information directly in a cookie (where it might be exposed to or replayed by an attacker), servers commonly store a nonce (or "session identifier") in a cookie. When the server receives an HTTP request with a nonce, the server can look up state information associated with the cookie using the nonce as a key.

~session識別子~cookieの利用-下では、攻撃者に~cookieの内容を読まれたときの被害が制限される — ~nonceが有用になるのは，（それ自身が~securityに敏感である，非~nonceの~cookieを成す内容と違って）~serverとヤリトリするときに限られるので。更に，使い捨て~nonceを利用すれば、［攻撃者が、~serverとの 2 回のヤリトリから~cookieの内容を “継ぎ接ぎ” して，~serverの挙動を期待されないものにする］ことも防がれる。 ◎ Using session identifier cookies limits the damage an attacker can cause if the attacker learns the contents of a cookie because the nonce is useful only for interacting with the server (unlike non-nonce cookie content, which might itself be sensitive). Furthermore, using a single nonce prevents an attacker from "splicing" together cookie content from two interactions with the server, which could cause the server to behave unexpectedly.

~session識別子の利用には~riskが伴う。例えば、~serverは， “~session固定化” の脆弱性を避けるべく，注意を払うベキである。 ~session固定化の攻撃は 3 段階を経て行われる。最初の段階では、攻撃者は，~session識別子を自身の~UAで~~取得してから，被害者の~UAに植え付ける。次の段階では、被害者がその~session識別子を~serverとのヤリトリに利用する（~session識別子には，利用者の資格証（ `credentials^en ）や機密（ `confidential^en ）に関する情報も伴われている可能性がある）。最後の段階では、攻撃者は，その~session識別子を利用して~serverと直にヤリトリする（利用者の権限（ `authority^en ）や機密に関する情報が奪われる可能性がある）。 ◎ Using session identifiers is not without risk. For example, the server SHOULD take care to avoid "session fixation" vulnerabilities. A session fixation attack proceeds in three steps. First, the attacker transplants a session identifier from his or her user agent to the victim's user agent. Second, the victim uses that session identifier to interact with the server, possibly imbuing the session identifier with the user's credentials or confidential information. Third, the attacker uses the session identifier to interact with server directly, possibly obtaining the user's authority or confidential information.

【植え付ける（ `transplant^en ）：（訳者による解釈）何らかの方法で（具体的な手段は多岐にわたる）、被害者を “攻撃者が~session識別子により，一定の権限を有する状態で~serverに~accessできる状況” と同一の状況に誘導する（しかる後， “体を入れ替える” — 攻撃者が用意した “合鍵” を被害者に利用させ、しかる後，同じ鍵で侵入する — したがって、 “ログイン” 時に鍵を別の鍵に交換することが有効果な対策になると考えられる）。】

8.5. 機密性の弱点

~cookieは~portによる隔離を供さない。 ~cookieが，ある~port上で稼働している~serviceで読取れるならば、その~cookieは，同じ~serverの別~port上の~serviceでも読取れる。 ~cookieが，ある~port上の~serviceで書込めるならば、その~cookieは，同じ~serverの別~port上の~serviceでも書込める。この理由から、~serverは、同じ~hostの異なる~port上で，互いに信用し合っていない~serviceを同時に稼働しているときは、~securityに敏感な情報を~cookieを利用して格納するベキでない。 ◎ Cookies do not provide isolation by port. If a cookie is readable by a service running on one port, the cookie is also readable by a service running on another port of the same server. If a cookie is writable by a service on one port, the cookie is also writable by a service running on another port of the same server. For this reason, servers SHOULD NOT both run mutually distrusting services on different ports of the same host and use cookies to store security-sensitive information.

~cookieは~schemeによる隔離を供さない。 ~cookieは `http^c と `https^c ~schemeで最も共通的に利用されるが、所与の~host用の~cookieは， `ftp^c や `gopher^c などの他の~schemeでも可用になり得る。この，~schemeによる隔離の欠如は、~cookieへの~accessを許可する`非HTTP~API$（例えば~HTMLの `document.cookie$dom ~API）において顕著に見られるが、~schemeによる隔離の欠如はまた，~cookieの処理~要件にも実際に在る（例えば、~HTTPを介して `gopher^c ~scheme~URIから検索取得することを考えてみよ）。【~web~platform（~browser）においては、 `gopher^c はすでに廃されている／ `ftp^c は廃されつつある。】 ◎ Cookies do not provide isolation by scheme. Although most commonly used with the http and https schemes, the cookies for a given host might also be available to other schemes, such as ftp and gopher. Although this lack of isolation by scheme is most apparent in non-HTTP APIs that permit access to cookies (e.g., HTML's document.cookie API), the lack of isolation by scheme is actually present in requirements for processing cookies themselves (e.g., consider retrieving a URI with the gopher scheme via HTTP).

~cookieは~pathによる隔離を常に供するものではない。 ~network~levelの~protocolでは、ある~pathに対応して格納された~cookieが，別の~pathに向けて送信されることはないが、一部の~UAは， ~HTMLの `document.cookie^dom ~APIなどの`非HTTP~API$を介して，~cookieを公開する。これらの~UAの一部（例えば，~web~browserなど）は，異なる~pathから受信した資源を隔離しないので、ある~pathから検索取得された資源から，別の~pathに対応して格納された~cookieに~accessし得る。 ◎ Cookies do not always provide isolation by path. Although the network-level protocol does not send cookies stored for one path to another, some user agents expose cookies via non-HTTP APIs, such as HTML's document.cookie API. Because some of these user agents (e.g., web browsers) do not isolate resources received from different paths, a resource retrieved from one path might be able to access cookies stored for another path.

8.6. 完全性の弱点

~cookieは、同胞~domain（およびそれらの下位domain）に対する完全性（ `integrity^en ）を保証しない。例えば, `foo.example.com^s と `bar.example.com^s を考える。 `foo.example.com^s の~serverは、 `Domain$a 属性 `example.com^l の~cookieを設定できる（既存の `example.com^l ~cookieを上書する可能性もある）。 ~UAは、その~cookieを `bar.example.com^s へ向けた~HTTP要請に内包することになる。最悪の場合、 `bar.example.com^s は，この~cookieと自身が設定した~cookieとを判別できなくなる。 `foo.example.com^s ~serverは、この能を利用して `bar.example.com^s への攻撃を仕掛けるかもしれない。 ◎ Cookies do not provide integrity guarantees for sibling domains (and their subdomains). For example, consider foo.example.com and bar.example.com. The foo.example.com server can set a cookie with a Domain attribute of "example.com" (possibly overwriting an existing "example.com" cookie set by bar.example.com), and the user agent will include that cookie in HTTP requests to bar.example.com. In the worst case, bar.example.com will be unable to distinguish this cookie from a cookie it set itself. The foo.example.com server might be able to leverage this ability to mount an attack against bar.example.com.

`Set-Cookie^h ~headerが `Path$a 属性を~supportしていても， ~UAは `Set-Cookie^h ~header内の任意の `Path$a 属性を受容するので、 `Path$a 属性は，いかなる完全性の保護も供さない。例えば， `http://example.com/foo/bar^s に向けた要請に対する~HTTP応答は、 `Path$a 属性 `/qux^l の~cookieを設定できる。したがって~serverは、同じ~hostの異なる~path上で，互いに信用し合っていない~serviceを同時に稼働しているときは、~securityに敏感な情報を~cookieを利用して格納するベキでない。 ◎ Even though the Set-Cookie header supports the Path attribute, the Path attribute does not provide any integrity protection because the user agent will accept an arbitrary Path attribute in a Set-Cookie header. For example, an HTTP response to a request for http://example.com/foo/bar can set a cookie with a Path attribute of "/qux". Consequently, servers SHOULD NOT both run mutually distrusting services on different paths of the same host and use cookies to store security-sensitive information.

能動的~network攻撃者は、 `http://example.com/^s からの応答になりすまして `Set-Cookie^h ~headerを注入することにより， `https://example.com/^s に向けて送信される `Cookie^h ~headerに~cookieを注入できる。 `example.com^s にある~HTTPS~serverは、~HTTPS応答の中のこれらの~cookieと自身が設定した~cookieとを，判別できない。 `example.com^s が~HTTPSを排他的に利用していたとしても、能動的~network攻撃者は，この能を利用して `example.com^s への攻撃を仕掛けるかもしれない。 ◎ An active network attacker can also inject cookies into the Cookie header sent to https://example.com/ by impersonating a response from http://example.com/ and injecting a Set-Cookie header. The HTTPS server at example.com will be unable to distinguish these cookies from cookies that it set itself in an HTTPS response. An active network attacker might be able to leverage this ability to mount an attack against example.com even if example.com uses HTTPS exclusively.

~serverは、自身の~cookieの内容を暗号化して署名することにより，これらの攻撃を部分的に軽減できる。しかしながら，［攻撃者は、自身が真正な `example.com^s ~serverから受信した~cookieを，利用者の~sessionの中で再現できる］ので、暗号の利用はこの課題を根本から払拭するものではなく，予測-不能な結果になる。 ◎ Servers can partially mitigate these attacks by encrypting and signing the contents of their cookies. However, using cryptography does not mitigate the issue completely because an attacker can replay a cookie he or she received from the authentic example.com server in the user's session, with unpredictable results.

最後に，攻撃者は、多数の~cookieを格納させることにより，~cookieを削除するよう~UAに強制するかもしれない。 ~UAは，自身の保管~上限に達したとき、何らかの~cookieを抹消するよう強制されることになる。 ~serverは、~UAが~cookieを維持することに依拠するベキでない。 ◎ Finally, an attacker might be able to force the user agent to delete cookies by storing a large number of cookies. Once the user agent reaches its storage limit, the user agent will be forced to evict some cookies. Servers SHOULD NOT rely upon user agents retaining cookies.

8.7. ~DNSへの依拠

~cookieの~securityは、~DNS（ `Domain Name System^en ）に依拠する。 ~DNSが部分的または全部的に弱体化された場合、~cookie~protocolは，応用が要する~securityを供するのに失敗するであろう。 ◎ Cookies rely upon the Domain Name System (DNS) for security. If the DNS is partially or fully compromised, the cookie protocol might fail to provide the security properties required by applications.

9. IANA 考慮点

恒久的~message~header~registry（ `RFC3864$r を見よ）は、以下の登録により更新された。 ◎ The permanent message header field registry (see [RFC3864]) has been updated with the following registrations.

~header名	`Cookie^h ／ `Set-Cookie^h
適用-可能な~protocol	http
位置付け	標準
著作者	IETF
変更~制御者	IETF
仕様~文書	この仕様（ `5.4§ ／ `5.2§ ）

◎ 9.1. Cookie ◎ Header field name: • Cookie Applicable protocol: • http Status: • standard Author/Change controller: • IETF Specification document: • this specification (Section 5.4) ◎ 9.2. Set-Cookie ◎ Header field name: • Set-Cookie Applicable protocol: • http Status: • standard Author/Change controller: • IETF Specification document: • this specification (Section 5.2)

~header名	`Cookie2^h ／ `Set-Cookie2^h
適用-可能な~protocol	http
位置付け	廃用
著作者	IETF
変更~制御者	IETF
仕様~文書	`RFC2965$r

◎ 9.3. Cookie2 ◎ Header field name: • Cookie2 Applicable protocol: • http Status: • obsoleted Author/Change controller: • IETF Specification document: • [RFC2965] ◎ 9.4. Set-Cookie2 ◎ Header field name: • Set-Cookie2 Applicable protocol: • http Status: • obsoleted Author/Change controller: • IETF Specification document: • [RFC2965]

謝辞

この文書は `RFC2109$r から多くの部分を借りている。 `David M. Kristol^en 氏と `Lou Montulli^en 氏による cookies 仕様にかけた労に感謝する — 特に `David^en 氏による IETF プロセスの~~進行に関する~~貴重な助言に。また、次の方々からの，この文書への~~有益な~feedbackに感謝する： ◎ This document borrows heavily from RFC 2109 [RFC2109]. We are indebted to David M. Kristol and Lou Montulli for their efforts to specify cookies. David M. Kristol, in particular, provided invaluable advice on navigating the IETF process. We would also like to thank＼

Thomas Broyer, Tyler Close, Alissa Cooper, Bil Corry, corvid, Lisa Dusseault, Roy T. Fielding, Blake Frantz, Anne van Kesteren, Eran Hammer-Lahav, Jeff Hodges, Bjoern Hoehrmann, Achim Hoffmann, Georg Koppen, Dean McNamee, Alexey Melnikov, Mark Miller, Mark Pauley, Yngve N. Pettersen, Julian Reschke, Peter Saint-Andre, Mark Seaborn, Maciej Stachowiak, Daniel Stenberg, Tatsuhiro Tsujikawa, David Wagner, Dan Winship, and Dan Witte for their valuable feedback on this document.

HTTP 状態管理の仕組み（ “HTTP cookie” ）

このメモの位置付け

著作権の告知

1. 序論

2. 表記規約

【この訳に特有な表記規約】

2.1. 適合性の判定基準

2.2. 構文の記法

2.3. 各種用語

3. 概観

3.1. 例

4. ~serverに課される要件

5. ~UAに課される要件

5.1. 下位成分~algo

5.3. 保管~model

6. 実装-時の考慮点

6.1. 制限s

6.2. ~API

6.3. ~IDNAへの依存関係と移行

7. ~privacyの考慮点

7.1. 第三者-主体による~cookie

7.2. 利用者-制御

7.3. 有効期限

8. ~securityの考慮点

8.1. 概観

8.2. ~ambient権限

8.3. 平文~text

8.4. ~session識別子

8.5. 機密性の弱点

8.6. 完全性の弱点

8.7. ~DNSへの依拠

9. IANA 考慮点

謝辞

このメモの位置付け

著作権の告知

1. 序論

2. 表記規約

【この訳に特有な表記規約】

2.1. 適合性の判定基準

2.2. 構文の記法

2.3. 各種用語

3. 概観

3.1. 例

4. ~serverに課される要件

4.1. `Set-Cookie^h ~header

4.1.1. 構文

4.1.2. 意味論（規範的でない）

4.1.2.1. `Expires^a 属性

4.1.2.2. `Max-Age^a 属性

4.1.2.3. `Domain^a 属性

4.1.2.4. `Path^a 属性

4.1.2.5. `Secure^a 属性

4.1.2.6. `HttpOnly^a 属性

4.2. `Cookie^h ~header

4.2.1. 構文

4.2.2. 意味論

5. ~UAに課される要件

5.1. 下位成分~algo

5.1.1. 日付

5.1.2. 正準-化された~host名

5.1.3. ~domainの照合-法

5.1.4. ~pathと~path合致-

5.2. `Set-Cookie^h ~header

5.2.1. `Expires^a 属性

5.2.2. `Max-Age^a 属性

5.2.3. `Domain^a 属性

5.2.4. `Path^a 属性

5.2.5. `Secure^a 属性

5.2.6. `HttpOnly^a 属性

5.3. 保管~model

5.4. `Cookie^h ~header

6. 実装-時の考慮点

6.1. 制限s

6.2. ~API

6.3. ~IDNAへの依存関係と移行

7. ~privacyの考慮点

7.1. 第三者-主体による~cookie

7.2. 利用者-制御

7.3. 有効期限

8. ~securityの考慮点

8.1. 概観

8.2. ~ambient権限

8.3. 平文~text

8.4. ~session識別子

8.5. 機密性の弱点

8.6. 完全性の弱点

8.7. ~DNSへの依拠

9. IANA 考慮点

謝辞