È possibile impostare i flag Secure e HttpOnly sui cookie mbox di (Analytics) s_cc e (Target)?

Impossibile impostare i flag Secure e HttpOnly sui cookie s_cc e mbox di (Target) di (Analytics) in quanto ciò interromperebbe la funzionalità dei cookie.

Descrizione description

Ambiente

Problema/Sintomi

Il team di sicurezza del client ha rilevato che mancano i flag HttpOnly e Secure per i cookie "s_cc" e mbox e che ciò potrebbe causare vari attacchi.

Poiché Secureflag per i cookie consentirà i cookie solo tramite il canale sicuro, mentre il flag HttpOnly proteggerà il cookie dagli script lato client, se non si impostano tali flag i cookie diventeranno vulnerabili agli attacchi. Inoltre, poiché il cookie Mbox è persistente, mostra le informazioni sul cookie anche dopo aver chiuso il browser. Utilizzando questi dati, un utente malintenzionato potrebbe intraprendere attività dannose.

È possibile impostare i flag Secureflag e HttpOnly sui cookie s_cc e mbox?

Risoluzione resolution

I flag "Secure" e "HttpOnly" non possono essere impostati su questi cookie in quanto potrebbero interrompere la funzionalità dei cookie.

L’impostazione di questi flag è necessaria e importante per i cookie che contengono dati sensibili o che fungono da cookie di autenticazione per proteggerli dal hijacking; tuttavia, i cookie s_cc e mbox non contengono dati sensibili. Devono essere accessibili da JavaScript, in quanto è così che questi prodotti accedono ai dati memorizzati nei cookie e li inviano ai domini di raccolta dati per l’analisi e il reporting.

Un’opzione consigliata per attenuare eventuali preoccupazioni relative alla mancata impostazione del flag "Protetto" è quella di utilizzare SSL di prima parte sulla raccolta dei dati e di supportare l’intestazione HSTS sul dominio, in modo che tutto il traffico sia garantito tramite HTTPS, inclusi questi cookie.