Är det möjligt att ange flaggorna Secure och HttpOnly som (Analytics) s_cc och (Target) mbox cookies?

Det går inte att ange flaggorna Secure och HttpOnly för mbox-cookies (Analytics) s_cc och (Target) eftersom detta skulle bryta cookies-funktionen.

Beskrivning description

Miljö

Problem/symtom

Klientsäkerhetsteamet noterade att HttpOnly- och Secure Flags saknas för s_cc- och mbox-cookies, vilket kan leda till olika attacker.

Eftersom Secureflag för cookies bara tillåter cookies via den säkra kanalen medan flaggan HttpOnly skyddar cookien från klientskript, kommer cookies att bli sårbara för attacker om flaggorna inte anges. Eftersom Mbox-cookien är beständig visas även cookie-information även när du har stängt webbläsaren. Med hjälp av dessa data kan en angripare engagera sig i skadliga aktiviteter.

Är det möjligt att ange s_cc- och mbox-cookies för flaggorna SecureFlags och HttpOnly?

Upplösning resolution

Det går inte att ange flaggorna Secure och HttpOnly för dessa cookies eftersom de skulle bryta cookies-funktionen.

När du anger dessa flaggor är det nödvändigt och viktigt för cookies som innehåller känsliga data eller fungerar som autentiseringscookies för att skydda dem från kapning, innehåller s_cc- och mbox-cookies inte känslig information. De måste vara tillgängliga för JavaScript eftersom det är så dessa produkter får åtkomst till data som lagras i cookies och skickar dem till datainsamlingsdomäner för analys och rapportering.

Ett alternativ som rekommenderas för att minska eventuella problem kring att flaggan"Skydda" inte anges är att använda SSL från första part för datainsamling och att stödja HSTS-huvudet på din domän, så all trafik säkerställs med HTTPS, inklusive dessa cookies.