Отсутствует безопасный флаг из файла cookie SSL (http-cookie-secure-flag)

Мне нужны комментарии экспертов / отзывы по проблеме, с которой я сталкиваюсь. У меня есть отчет о соответствии PCI для одного из сайтов Magento, над которым я работаю. (Magento 1.4.1.1). Отчет был создан с использованием NeXpose

В отчете PCI говорится следующее.

Отсутствует безопасный флаг из файла cookie SSL (http-cookie-secure-flag)

Описание:

Атрибут Secure сообщает браузеру отправлять cookie только в том случае, если запрос отправляется по безопасному каналу, такому как HTTPS. Это поможет защитить куки от незашифрованных запросов. Если к приложению можно получить доступ как по HTTP, так и по HTTPS, существует вероятность, что cookie может быть отправлен в виде открытого текста.

В отчете упоминаются следующие ссылки OWASP-2010: A3 и OWASP-2013: A2

Доказательства несоответствия PCI:

Cookie не помечен как безопасный:

'frontend=2tsnh10jssv89cg0a7n93bf4ji1
cmkn0; path=/; httponly;
domain=www.example.com'
URL: https://www.example.com/

Предлагаемое решение:

Для каждого файла cookie, отправляемого по SSL на вашем веб-сайте, добавьте флаг «Безопасный» в файл cookie.

Таким образом, мой вопрос, это высокий риск, который должен быть обработан, чтобы быть полностью совместимым с PCI?

Я искал на SO и обнаружил следующее, где находится тег «secure» в файле cookie Magento на защищенном сайте SSL? ,

1) Считаете ли вы, что предоставленное решение достаточно хорошо, чтобы преодолеть проблему?

2) Будем обновляться до более высокая версия Magento поможет?

Как и в примечаниях к выпуску, у нас есть следующее заявление :

Добавлен безопасный маркер cookie для витрины магазина, чтобы предотвратить атаки «человек посередине». Нет изменений в параметрах конфигурации «Безопасный» и «Небезопасный».

Если мы перейдем от http в https соединение того времени нет безопасного флага там ..

3

Решение

Как объяснено здесь:
http://blog.elementps.com/element_payment_solutions/2013/12/new-pci-dss-session-management-requirements-.html

Новый PCI DSS требует, чтобы куки https были помечены как безопасные.
Поэтому прежде всего ваш сайт должен использовать SSL для конфиденциальных данных. Когда вы используете SSL и отправляете cookie клиенту, вам необходимо пометить cookie как Безопасный, поэтому cookie не будет доступен для чтения по протоколу HTTP.

Для последней части вашего вопроса, да, с SSL, отмечая ваш cookie Безопасный а также HttpOnly следует позаботиться о требованиях PCI.

Существуют дополнительные требования, например, идентификатор сеанса должен быть уникальным, должен быть недействительным должным образом (без фиксации сеанса), без идентификатора сеанса через URL и т. Д., Но я не думаю, что у вас есть эти проблемы.

Чтобы решить эту проблему, вы можете попробовать:
https://community.magento.com/t5/Version-Upgrades/Secure-cookie-flag/td-p/2997
или же
https://github.com/lukanetconsult/mage-secure-cookie

3

Другие решения

Других решений пока нет …

По вопросам рекламы [email protected]