É possível definir os sinalizadores Secure e HttpOnly para os cookies s_cc e mbox (Target) do (Analytics)?

A variável Seguro e HttpOnly os sinalizadores não podem ser definidos nos cookies s_cc e mbox (Target) do (Analytics), pois isso danificaria a funcionalidade dos cookies.

Descrição description

Ambiente

  • Customer Journey Analytics
  • Analytics
  • Target

Problema/Sintomas

A equipe de segurança do cliente observou que os sinalizadores HttpOnly e Seguro estão ausentes para cookies "s_cc" e mbox e isso pode levar a vários ataques.

Como Secureflag para cookies permitirá os cookies somente por meio do canal seguro enquanto a variável  HttpOnly O sinalizador protegerá o cookie dos scripts do lado do cliente. Se esses sinalizadores não forem definidos, os cookies ficarão vulneráveis a ataques. Além disso, como o cookie da Mbox é persistente, ele mostra as informações do cookie mesmo após fechar o navegador. Usando esses dados, um invasor pode se envolver em atividades mal-intencionadas.

É possível definir os sinalizadores Secureflag e HttpOnly como cookies s_cc e mbox?

Resolução resolution

Os sinalizadores "Secure" e "HttpOnly" não podem ser definidos nesses cookies, pois quebrariam a funcionalidade dos cookies.

Embora a configuração desses sinalizadores seja necessária e importante para cookies que contêm dados confidenciais ou atuam como cookies de autenticação para protegê-los contra sequestro, os cookies s_cc e mbox não contêm informações confidenciais. Eles precisam estar acessíveis pelo JavaScript, pois é assim que esses produtos acessam os dados armazenados nos cookies e os enviam para os domínios da Coleção de dados para análise e relatórios.

Uma opção recomendada para atenuar quaisquer preocupações em torno do sinalizador "Seguro" que não está sendo definido é usar SSL primário na Coleção de dados e dar suporte ao cabeçalho HSTS em seu domínio, para que todo o tráfego seja garantido por HTTPS, incluindo esses cookies.

recommendation-more-help
3d58f420-19b5-47a0-a122-5c9dab55ec7f