マイクロソフトは一つのドメインごとに許容するクッキーの数をFireFoxと同等の20から50に増加した。マイクロソフトでプログラムマネージャを務め、Fiddler HTTPデバギングプロキシの仕掛け人であるEric Lawrenceがこのリリースについて語った。
過去にIEのクッキージャーは一つのドメインにつき最大で20のクッキーを保存した。もしサーバーから20以上のクッキーが送られてきたら古いクッキーはブラウザによって自動的に排除されていた。排除されたクッキーはウェブサイトの設定を消去したり、ショッピングバスケットを空にしたりといった問題を引き 起こしていた。その20のクッキーリミットはNetscapeの予備仕様書"Client Side State-HTTP Cookies”にまで遡る。このInternet Explorerにおけるクッキーの増加は一見それが向上したように聞こえる一方、増加したリクエストサイズと遅くなったアップロードスピードを考慮に入れるとパフォーマンス性に関する重大な問題が出てくる。
不幸にもクッキーはドラマチックなほどにHTTPリクエストのサイズに影響を与える。というのもユーザー達のブラウズを大幅に遅らせてしまうのだ。たくさ んのWebユーザが非対称型帯域幅を用いて2倍から5倍のアップロードスピードでダウンロードを行っている。これはいくつかの場合でHTTPのリクエス トサイズは全体的な移行の時間を考慮したときサーバのレスポンスのサイズよりも重要な要因となるということだ。Ericはこれらの問題に対応する3つの方法を述べている。
- 自分のクッキーのサイズを最小限にすること 例えばより短い変数を使用する
- 異なるドメインから静的なコンテンツを取り入れること そうすればクッキーはリクエスト内には送り込まれない
- 自分のクッキーのサイズを最小限に抑えることパスによってクッキーを制限するところである
最後の方法はただ一つのドメインで実行できるということを省いたら2つ目のものに似ている。もし1つのパス内でクッキーにアクセスを必要とする全てのペー ジを維持することができれば、パス内のリクエストだけに送られるべきクッキーを特定するパスの特性を利用することができる。これはパス以外から送られたリクエストが、不必要なクッキーを運ばないように強制するようにするのだ。アタックを和らげるためのクライアント側のスクリプトからのクッキーアクセスを制限することを提案している。
もし自分のクッキーが自分のサーバーだけに使われ、スクリプトがクッキーへのアクセスを必要としなければ、クロスサイトスクリプティングアタックによるクッキー泥棒からサーバーを守るためにはHttpOnlyアトリビュートを使用すればいい。HttpOnly特性はインターネットエクスプローラ6SP1にて取り入れられている。またそれはFirefox 3にてサポートされる予定で、現在Firefox Add-Onとして入手可能となっている。