Est-il possible de définir les indicateurs Secure et HttpOnly sur les cookies s_cc et mbox (Target) d’ (Analytics) ?

Les indicateurs Secure et HttpOnly ne peuvent pas être définis sur les cookies s_cc (Analytics) et (Target), car cela romprait la fonctionnalité des cookies.

Description description

Environnement

Problème/Symptômes

L’équipe de sécurité client a observé que les indicateurs HttpOnly et Secure sont manquants pour les cookies "s_cc" et mbox, ce qui peut entraîner diverses attaques.

Comme Secureflag pour les cookies n’autorise les cookies que par le biais du canal sécurisé, tandis que l’indicateur HttpOnly protège le cookie des scripts côté client, l’échec de la définition de ces indicateurs rend les cookies vulnérables aux attaques. En outre, comme le cookie Mbox est persistant, il affiche les informations du cookie même après la fermeture du navigateur. En utilisant ces données, un attaquant pourrait se livrer à des activités malveillantes.

Est-il possible de définir les indicateurs Secureflag et HttpOnly sur les cookies s_cc et mbox ?

Résolution resolution

Les indicateurs "Secure" et "HttpOnly" ne peuvent pas être définis sur ces cookies, car ils mettraient en péril la fonctionnalité des cookies.

Bien que la définition de ces indicateurs soit nécessaire et important pour les cookies qui contiennent des données sensibles ou qui agissent comme des cookies d’authentification pour les protéger du détournement, les cookies s_cc et mbox ne contiennent pas d’informations sensibles. Ils doivent être accessibles par JavaScript, car c’est ainsi que ces produits accèdent aux données stockées dans les cookies et les envoient aux domaines de collecte de données pour analyse et création de rapports.

Une option recommandée pour atténuer les inquiétudes liées à l’indicateur "sécurisé" qui n’est pas défini consiste à utiliser le protocole SSL propriétaire sur la collecte de données et à prendre en charge l’en-tête HSTS sur votre domaine. Par conséquent, tout le trafic est assuré via HTTPS, y compris ces cookies.