Мне нужны комментарии экспертов / отзывы по проблеме, с которой я сталкиваюсь. У меня есть отчет о соответствии PCI для одного из сайтов Magento, над которым я работаю. (Magento 1.4.1.1). Отчет был создан с использованием NeXpose
В отчете PCI говорится следующее.
Отсутствует безопасный флаг из файла cookie SSL (http-cookie-secure-flag)
Описание:
Атрибут Secure сообщает браузеру отправлять cookie только в том случае, если запрос отправляется по безопасному каналу, такому как HTTPS. Это поможет защитить куки от незашифрованных запросов. Если к приложению можно получить доступ как по HTTP, так и по HTTPS, существует вероятность, что cookie может быть отправлен в виде открытого текста.
В отчете упоминаются следующие ссылки OWASP-2010: A3 и OWASP-2013: A2
Доказательства несоответствия PCI:
Cookie не помечен как безопасный:
'frontend=2tsnh10jssv89cg0a7n93bf4ji1
cmkn0; path=/; httponly;
domain=www.example.com'
URL: https://www.example.com/
Предлагаемое решение:
Для каждого файла cookie, отправляемого по SSL на вашем веб-сайте, добавьте флаг «Безопасный» в файл cookie.
Таким образом, мой вопрос, это высокий риск, который должен быть обработан, чтобы быть полностью совместимым с PCI?
Я искал на SO и обнаружил следующее, где находится тег «secure» в файле cookie Magento на защищенном сайте SSL? ,
1) Считаете ли вы, что предоставленное решение достаточно хорошо, чтобы преодолеть проблему?
2) Будем обновляться до более высокая версия Magento поможет?
Как и в примечаниях к выпуску, у нас есть следующее заявление :
Добавлен безопасный маркер cookie для витрины магазина, чтобы предотвратить атаки «человек посередине». Нет изменений в параметрах конфигурации «Безопасный» и «Небезопасный».
Если мы перейдем от http
в https
соединение того времени нет безопасного флага там ..
Как объяснено здесь:
http://blog.elementps.com/element_payment_solutions/2013/12/new-pci-dss-session-management-requirements-.html
Новый PCI DSS требует, чтобы куки https были помечены как безопасные.
Поэтому прежде всего ваш сайт должен использовать SSL для конфиденциальных данных. Когда вы используете SSL и отправляете cookie клиенту, вам необходимо пометить cookie как Безопасный, поэтому cookie не будет доступен для чтения по протоколу HTTP.
Для последней части вашего вопроса, да, с SSL, отмечая ваш cookie Безопасный а также HttpOnly следует позаботиться о требованиях PCI.
Существуют дополнительные требования, например, идентификатор сеанса должен быть уникальным, должен быть недействительным должным образом (без фиксации сеанса), без идентификатора сеанса через URL и т. Д., Но я не думаю, что у вас есть эти проблемы.
Чтобы решить эту проблему, вы можете попробовать:
https://community.magento.com/t5/Version-Upgrades/Secure-cookie-flag/td-p/2997
или же
https://github.com/lukanetconsult/mage-secure-cookie
Других решений пока нет …