¿Es posible establecer los indicadores Secure y HttpOnly en las cookies de mbox (Analytics) s_cc y (Target)?

Los indicadores Secure y HttpOnly no se pueden establecer en las cookies de mbox s_cc y (Target) de (Analytics), ya que esto rompería la funcionalidad de las cookies.

Descripción description

Entorno

Problema/Síntomas

El equipo de seguridad del cliente observó que faltaban los indicadores HttpOnly y Secure para las cookies "s_cc" y mbox, lo que podría provocar varios ataques.

Como Secureflag para cookies permitirá las cookies únicamente a través del canal seguro, mientras que el indicador HttpOnly protegerá la cookie de los scripts del lado del cliente, si no se establecen esos indicadores, las cookies serán vulnerables a ataques. Además, como la cookie de Mbox es persistente, muestra información sobre las cookies incluso después de cerrar el explorador. Con estos datos, un atacante podría participar en actividades maliciosas.

¿Es posible establecer los indicadores Secureflag y HttpOnly en cookies s_cc y mbox?

Resolución resolution

Los indicadores "Secure" y "HttpOnly" no se pueden establecer en estas cookies, ya que romperían la funcionalidad de las cookies.

Aunque la configuración de estos indicadores es necesaria e importante para las cookies que contienen datos confidenciales o actúan como cookies de autenticación para protegerlas del secuestro, las cookies s_cc y mbox no contienen información confidencial. JavaScript debe poder acceder a ellos, ya que así es como estos productos acceden a los datos almacenados en las cookies y los envían a los dominios de recopilación de datos para su análisis y la creación de informes.

Una opción recomendada para mitigar cualquier preocupación en torno a la no configuración del indicador "Secure" es utilizar SSL de origen en la recopilación de datos y admitir el encabezado HSTS en su dominio, de modo que se garantice que todo el tráfico se envíe a través de HTTPS, incluidas estas cookies.