Cuando la aplicación web crea la cookie, hay indicadores opcionales que se pueden configurar para restringir la forma en que se usa la cookie. Sin indicadores establecidos, las cookies se pueden leer a través de una conexión insegura o se pueden usar de manera inesperada y no planificada.
Para corregir su hallazgo, deberá asegurarse de que se configuren los indicadores correctos cuando se crea la cookie. En una aplicación web normal, haría esto modificando el código fuente en el punto donde se crea la cookie o si está usando una función de biblioteca para crear la cookie, puede ser un parámetro opcional.
Para obtener información general, consulte página SecureFlag de OWASP .
Desde su cambio en Exchange 2010, asumo que esto está en el componente de correo electrónico basado en la web para que los usuarios lean su correo electrónico en el navegador en lugar de Outlook, etc. Esta debería ser una opción en su web.config
que se puede encontrar bajo un camino como Program Files\Microsoft\Exchange Server\V14\ClientAccess\Owa
. Después de navegar, veo que esto era ya contestado en ServerFault
<httpCookies httpOnlyCookies="true" requireSSL="true"/>