セキュアおよび HttpOnly フラグを（Analytics） s_cc および（Target） mbox Cookie に設定できますか？

セキュア フラグと HttpOnly フラグは、（Analytics） s_cc と（Target） mbox Cookie に対して設定できません。これにより、Cookie の機能が損なわれるからです。

説明 description

環境

問題/症状

クライアントセキュリティチームは、「s_cc」と mbox cookie の HttpOnly および Secure Flags が欠落していることに気づきました。これにより、様々な攻撃が発生する可能性があります。

Secureflag として、Cookie はセキュアチャネルを介してのみ Cookie を許可しますが、HttpOnly フラグはクライアントサイドスクリプティングから Cookie を保護するので、これらのフラグを設定しないと、Cookie は攻撃に対して脆弱になります。 また、Mbox cookie は永続的なので、ブラウザーを閉じても cookie 情報が表示されます。 このデータを使用することにより、攻撃者は悪意のある行為を行う可能性があります。

Secureflag フラグと HttpOnly フラグを s_cc と mbox Cookie に設定することは可能ですか？

解決策 resolution

これらの Cookie には「Secure」フラグと「HttpOnly」フラグを設定できません。これらのフラグは Cookie の機能を壊す可能性があるからです。

これらのフラグの設定は、機密データを含む Cookie や認証 Cookie として機能してハイジャックから保護する場合に必要かつ重要ですが、s_cc および mbox Cookie には機密情報は含まれません。 そのため、これらの製品は cookie に保存されたデータにアクセスし、分析とレポートのためにデータ収集ドメインに送信します。そのため、JavaScriptからアクセスできる必要があります。

「セキュア」フラグが設定されていないことに関する懸念を軽減するために推奨されるオプションの 1 つは、データ収集でファーストパーティ SSL を使用し、ドメインで HSTS ヘッダーをサポートすることです。これにより、これらの Cookie を含むすべてのトラフィックが HTTPS 経由であることが保証されます。