보안 및 HttpOnly 플래그를 (Analytics) s_cc 및 (Target) mbox 쿠키로 설정할 수 있습니까?

Secure 및 HttpOnly ​플래그를 (Analytics) s_cc 및 (Target) mbox 쿠키에 설정할 수 없습니다. 이렇게 하면 쿠키의 기능이 손상될 수 있습니다.

설명 description

환경

문제/증상

클라이언트 보안 팀은 "s_cc" 및 mbox 쿠키에 대해 HttpOnly 및 Secure Flags가 누락되고 이로 인해 다양한 공격이 발생할 수 있음을 관찰했습니다.

쿠키에 대한 Secureflag 은(는) 보안 채널을 통해서만 쿠키를 허용하지만 HttpOnly 플래그는 클라이언트측 스크립팅으로부터 쿠키를 보호하므로 해당 플래그를 설정하지 않으면 쿠키가 공격에 취약해집니다. 또한, Mbox 쿠키는 영구적이므로 브라우저를 닫은 후에도 쿠키 정보를 표시합니다. 이 데이터를 사용하면 공격자가 악의적인 활동을 할 수 있다.

Secureflag 및 HttpOnly 플래그를 s_cc 및 mbox 쿠키로 설정할 수 있습니까?

해결 방법 resolution

"Secure" 및 "HttpOnly" 플래그는 쿠키 기능을 손상시킬 수 있으므로 이러한 쿠키에 설정할 수 없습니다.

이러한 플래그를 설정하는 것은 중요한 데이터가 포함되어 있거나 하이재킹으로부터 보호하기 위한 인증 쿠키로 사용되는 쿠키에 필요하고 중요하지만 s_cc 및 mbox 쿠키에는 중요한 정보가 포함되어 있지 않습니다. 이러한 제품이 쿠키에 저장된 데이터에 액세스하고 분석 및 보고를 위해 데이터 수집 도메인으로 보내는 방법이므로 JavaScript에서 데이터에 액세스할 수 있어야 합니다.

설정되지 않는 '보안' 플래그에 대한 문제를 완화하기 위해 권장되는 옵션 중 하나는 데이터 수집에서 자사 SSL을 사용하고 도메인에서 HSTS 헤더를 지원하므로 이러한 쿠키를 포함하여 모든 트래픽이 HTTPS를 통해 보장됩니다.