it-swarm.com.de

Sichere Cookies setzen

Beim Scannen einer Drupal 7-Site mit Qualys) tritt das Problem auf

150122 Cookie enthält nicht das "sichere" Attribut

Gibt es eine Möglichkeit, Cookies systematisch das Flag "Sicher gegen HTTPOnly" hinzuzufügen? Würde Secure Cookie Data dies dienen? Wenn ja, wie teste ich, ob Cookies sicher sind?

Darüber hinaus leitet diese Site automatisch an https weiter. Der Benutzer verbringt keine Zeit über Port 80, sondern wird direkt zu 443 gebracht. Wir haben einen Administrator, der nur möchte, dass dieser Test bestanden wird. unabhängig von der vorherigen Tatsache.

Das fragliche Cookie:

has_js=1

(enter image description here

Wäre folgendes in settings.php ausreichend:

ini_set('session.cookie_secure', 1);
ini_set('session.cookie_httponly', 1);
4
Rick

Anscheinend kann ich Apache anweisen, dies für mich zu tun:

Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure

(enter image description here

2
Rick

Welcher Cookie ist das? Alle Cookies von Drupal 8) sind sicher.

Die Ausnahme ist BigPipes No-JS-Cookie, siehe https://www.drupal.org/node/2678628 - aber es gibt dort keine Sicherheitsfolgen.

Wenn dies derjenige ist, der diese Warnung auslöst, ist das Problem klar: Ihr Sicherheitstest-Tool gibt pauschale Anweisungen ab, die keinen Sinn ergeben.

2
Wim Leers