Ist es möglich, die Flags „Secure“ und „HttpOnly“ auf (Analytics) s_cc und (Target) mbox-Cookies festzulegen?
Die Flags Sicher und HttpOnly können nicht für (Analytics) s_cc- und (Target) mbox-Cookies festgelegt werden, da dies die Funktionalität der Cookies beeinträchtigen würde.
Beschreibung description
Umgebung
- Customer Journey Analytics
- Analytics
- Target
Problem/Symptome
Das Client-Sicherheitsteam hat festgestellt, dass für „s_cc“- und mbox-Cookies HttpOnly- und Secure-Flags fehlen, was zu verschiedenen Angriffen führen kann.
Da SecureFlag für Cookies die Cookies nur über den sicheren Kanal zulässt, während das HttpOnly-Flag das Cookie vor Client-seitiger Skripterstellung schützt, werden die Cookies bei Nichtsetzung dieser Flags anfällig für Angriffe. Da das Mbox-Cookie persistent ist, werden Cookie-Informationen auch nach dem Schließen des Browsers angezeigt. Mit diesen Daten kann ein Angreifer böswillige Aktivitäten ausführen.
Ist es möglich, die Flags „SecureFlag“ und „HttpOnly“ auf s_cc und mbox-Cookies festzulegen?
Auflösung resolution
Die Flags „Sicher“ und „HttpOnly“ können für diese Cookies nicht gesetzt werden, da sie die Funktionalität der Cookies beeinträchtigen würden.
Während das Setzen dieser Flags für Cookies, die sensible Daten enthalten oder als Authentifizierungs-Cookies dienen, zum Schutz vor Hijacking erforderlich und wichtig ist, enthalten s_cc- und mbox-Cookies keine sensiblen Informationen. Sie müssen für JavaScript zugänglich sein, da diese Produkte auf diese Weise auf die in den Cookies gespeicherten Daten zugreifen und sie zur Analyse und Berichterstellung an Datenerfassungs-Domains senden.
Eine Möglichkeit, die empfohlen wird, um Bedenken auszuräumen, dass das Flag „Sicher“ nicht gesetzt ist, besteht darin, Erstanbieter-SSL bei der Datenerfassung zu verwenden und den HSTS-Header auf Ihrer Domain zu unterstützen, sodass der gesamte Traffic über HTTPS erfolgt, einschließlich dieser Cookies.