Secure および HttpOnly フラグを (Analytics) s_cc および (Target)mbox Cookie に設定できますか?
The セキュア および HttpOnly フラグを (Analytics) s_cc および (Target)mbox の Cookie に設定できない問題を修正しました。
説明 description
環境
- Customer Journey Analytics
- Analytics
- Target
問題/症状
クライアントセキュリティチームは、「s_cc」Cookie と mbox Cookie に HttpOnly および Secure フラグが欠落しており、様々な攻撃につながる可能性があると観察しました。
As Secureflag for cookie は、セキュアチャネルを通じてのみ cookie を許可し、 HttpOnly フラグを設定すると、cookie がクライアント側のスクリプティングから保護され、これらのフラグを設定しないと、cookie が攻撃に対して脆弱になります。 また、Mbox Cookie は永続的なので、ブラウザーを閉じた後でも Cookie の情報が表示されます。 このデータを使用すると、攻撃者は悪意のあるアクティビティを実行する可能性があります。
Secureflag および HttpOnly フラグを s_cc および mbox Cookie に設定できますか?
解決策 resolution
これらの cookie では、Cookie の機能が壊れる可能性があるので、「セキュア」および「HttpOnly」フラグを設定できません。
これらのフラグの設定は、機密データが含まれる Cookie や、ハイジャックから保護するための認証 Cookie として機能する Cookie で必要で重要ですが、s_cc および mbox Cookie には機密情報は含まれていません。 JavaScript が Cookie に保存されたデータにこれらの製品がどのようにアクセスし、分析とレポートを行うためにデータ収集ドメインに送信するかを JavaScript が指定する必要があります。
「Secure」フラグが設定されない問題を軽減するために推奨される 1 つの方法は、データ収集でファーストパーティ SSL を使用し、ドメインで HSTS ヘッダーをサポートすることです。そのため、これらの cookie を含め、すべてのトラフィックが HTTPS を使用します。