É possível definir os sinalizadores Secure e HttpOnly para os cookies s_cc e mbox (Target) do (Analytics)?

Os sinalizadores Secure e HttpOnly não podem ser definidos nos cookies s_cc e mbox (Target) do (Analytics), pois isso danificaria a funcionalidade dos cookies.

Descrição description

Ambiente

Problema/Sintomas

A equipe de segurança do cliente observou que os sinalizadores HttpOnly e Seguro estão ausentes para cookies "s_cc" e mbox e isso pode levar a vários ataques.

Como o Secureflag para cookies permitirá os cookies somente por meio do canal seguro, enquanto o sinalizador HttpOnly protegerá o cookie dos scripts do lado do cliente, a falha ao definir esses sinalizadores tornará os cookies vulneráveis a ataques. Além disso, como o cookie da Mbox é persistente, ele mostra as informações do cookie mesmo após fechar o navegador. Usando esses dados, um invasor pode se envolver em atividades mal-intencionadas.

É possível definir os sinalizadores Secureflag e HttpOnly como cookies s_cc e mbox?

Resolução resolution

Os sinalizadores "Secure" e "HttpOnly" não podem ser definidos nesses cookies, pois quebrariam a funcionalidade dos cookies.

Embora a configuração desses sinalizadores seja necessária e importante para cookies que contêm dados confidenciais ou atuam como cookies de autenticação para protegê-los contra sequestro, os cookies s_cc e mbox não contêm informações confidenciais. Eles precisam estar acessíveis pela JavaScript, pois é assim que esses produtos acessam os dados armazenados nos cookies e os enviam aos domínios de Coleção de dados para análise e relatórios.

Uma opção recomendada para atenuar quaisquer preocupações em torno do sinalizador "Seguro" que não está sendo definido é usar SSL primário na Coleção de dados e dar suporte ao cabeçalho HSTS em seu domínio, para que todo o tráfego seja garantido por HTTPS, incluindo esses cookies.