Hemos recibido el siguiente hallazgo de una auditoría de TI.
Falta el atributo de seguridad en la cookie de sesión cifrada (SSL): Es mejor práctica comercial de que todas las cookies que envían (Set-cookie) un SSL conexión para declarar explícitamente seguro en ellos
¿Alguien puede explicar qué son y cómo protegerlos?
Una cookie que tiene el conjunto de atributos secure solo se enviará a través de una conexión HTTPS, por lo que si el cliente intenta conectarse al servidor a través de HTTP no cifrado, la cookie no se enviará con la solicitud y Por lo tanto, no estar expuesto al robo.
En cuanto a cómo garantizar que su cookie específica esté marcada como secure , deberá consultar con los propietarios de la aplicación o la documentación para determinar qué pasos deberá tomar.
Cuando la aplicación web crea la cookie, hay indicadores opcionales que se pueden configurar para restringir la forma en que se usa la cookie. Sin indicadores establecidos, las cookies se pueden leer a través de una conexión insegura o se pueden usar de manera inesperada y no planificada.
Para corregir su hallazgo, deberá asegurarse de que se configuren los indicadores correctos cuando se crea la cookie. En una aplicación web normal, haría esto modificando el código fuente en el punto donde se crea la cookie o si está usando una función de biblioteca para crear la cookie, puede ser un parámetro opcional.
Para obtener información general, consulte página SecureFlag de OWASP .
Desde su cambio en Exchange 2010, asumo que esto está en el componente de correo electrónico basado en la web para que los usuarios lean su correo electrónico en el navegador en lugar de Outlook, etc. Esta debería ser una opción en su web.config que se puede encontrar bajo un camino como Program Files\Microsoft\Exchange Server\V14\ClientAccess\Owa . Después de navegar, veo que esto era ya contestado en ServerFault
<httpCookies httpOnlyCookies="true" requireSSL="true"/>