Play FrameworkでSecure Cookie対応するまでの道のり

Play meetup #2

Jul 5th, 2015

Profile

songmu

id: Songmu (ソンムー)
Masayuki Matsuki
おそらくはそれさえも平凡な日々 http://www.songmu.jp/riji/
https://metacpan.org/author/SONGMU
趣味はCPANizeです
はてな東京オフィスチーフエンジニア
Mackerelチームディレクター兼デベロッパー

https://mackerel.io/
サーバー管理・監視ツール as a Service

YAPC::Asia 2015で話します

Mackerel開発におけるScalaとGo、そしてPerl

Mackerel

playframework 2.3.7 (バージョンあげたい)
フルhttpsサービス

ちゃんとhttps化する上で

secure cookieを使う

`session.secure=true` を設定する？

scala/play/api/http/HttpConfiguration.scala

secure = config.getDeprecated[Boolean]("play.http.session.secure", "session.secure"),

session.secure はもう古い
2.4からdeprecated
- play.http.session.secure を使え
Mackerelは2.3.7なのでsession.secure

レスポンスを確認

ちゃんとsecure cookieになってる！
…あれ？
PLAY2AUTH_SESS_IDって何？

play2-auth

https://github.com/t2v/play2-auth
アプリケーションに認証/認可の機能を手軽に組み込むためのモジュール

PLAY2AUTH_SESS_IDをsecureにする方法

AuthConfig.cookieSecureOptionをoverride (default false)

trait AuthConfigImpl extends AuthConfig {
  override lazy val cookieSecureOption: Boolean = Config.config.getBoolean("session.secure").getOrElse(true)
}

`AuthConfig.cookieSecureOption`もまたdeprecated…

play2/auth/AuthConfig.scala

@deprecated("it will be deleted since 0.14.0. use CookieTokenAccessor constructor", since = "0.13.1")
lazy val cookieSecureOption: Boolean = false

AuthConfigImpl.tokenAccessor.cookieSecureOptionを設定するのがイマドキ
Mackerelは0.13.0…

とはいえPLAY2AUTH_SESS_IDもsecureに!

あれ？

PLAY_FLASHとは一体…?
Flash Message用のCookie

PLAY_FLASHをsecureに設定する方法

Play 2.4以降！！！
play.http.flash.secure を設定
- play.http.session.secure と別設定なのがよくわからない
Mackerelは(ry

orz

結論と雑感

Play 2.4以降なら 以下を設定しておけば安心

play.http.session.secure=true
play.http.flash.secure=true

アプリケーションのデフォルト設定は安全側に倒れてて欲しいけど、secure cookieのオプションのデフォルトがtrueだとローカル開発がいきなりでなかったりして初心者にやさしくなかったりするのでその辺フレームーワーク作者にとって悩ましそう

以上

We are Hiring

hatena

はてなではエンジニアを募集しています
東京でも絶賛採用中
もちろん京都にもおいでやす