Secure および HttpOnly フラグを (Analytics) s_cc および (Target)mbox Cookie に設定できますか?

The セキュア および HttpOnly ​フラグを (Analytics) s_cc および (Target)mbox の Cookie に設定できない問題を修正しました。

説明 description

環境

  • Customer Journey Analytics
  • Analytics
  • Target

問題/症状

クライアントセキュリティチームは、「s_cc」Cookie と mbox Cookie に HttpOnly および Secure フラグが欠落しており、様々な攻撃につながる可能性があると観察しました。

As Secureflag for cookie は、セキュアチャネルを通じてのみ cookie を許可し、  HttpOnly フラグを設定すると、cookie がクライアント側のスクリプティングから保護され、これらのフラグを設定しないと、cookie が攻撃に対して脆弱になります。 また、Mbox Cookie は永続的なので、ブラウザーを閉じた後でも Cookie の情報が表示されます。 このデータを使用すると、攻撃者は悪意のあるアクティビティを実行する可能性があります。

Secureflag および HttpOnly フラグを s_cc および mbox Cookie に設定できますか?

解決策 resolution

これらの cookie では、Cookie の機能が壊れる可能性があるので、「セキュア」および「HttpOnly」フラグを設定できません。

これらのフラグの設定は、機密データが含まれる Cookie や、ハイジャックから保護するための認証 Cookie として機能する Cookie で必要で重要ですが、s_cc および mbox Cookie には機密情報は含まれていません。 JavaScript が Cookie に保存されたデータにこれらの製品がどのようにアクセスし、分析とレポートを行うためにデータ収集ドメインに送信するかを JavaScript が指定する必要があります。

「Secure」フラグが設定されない問題を軽減するために推奨される 1 つの方法は、データ収集でファーストパーティ SSL を使用し、ドメインで HSTS ヘッダーをサポートすることです。そのため、これらの cookie を含め、すべてのトラフィックが HTTPS を使用します。

recommendation-more-help
3d58f420-19b5-47a0-a122-5c9dab55ec7f