Abbiamo ricevuto il seguente risultato da un audit IT.
Missing Secure Attribute in Encrypted Session(SSL) Cookie: It is best business practice that any cookies that sent over (Set-cookie) an SSL connection to explicitly state secure on them
Qualcuno può spiegare cosa sono e come proteggerli?
Un cookie con il set di attributi secure verrà inviato solo tramite una connessione HTTPS, quindi se il client in futuro tenta di connettersi al server su HTTP non crittografato, il cookie non verrà inviato con la richiesta e non, quindi, essere esposti al furto.
Per sapere come garantire che il tuo specifico cookie sia contrassegnato come secure , dovrai consultare i proprietari dell'applicazione o la documentazione per accertarti quali passi dovrai prendere.
Quando il cookie viene creato dall'app Web, esistono dei contrassegni facoltativi che possono essere impostati per limitare l'utilizzo del cookie. Senza set di flag, i cookie possono essere letti su una connessione non sicura o possono essere utilizzati in modi imprevisti e non pianificati.
Per rimediare alla tua scoperta, dovrai assicurarti che i flag corretti siano impostati quando viene creato il cookie. In una normale app web lo farai modificando il codice sorgente nel punto in cui viene creato il cookie o se stai utilizzando una funzione di libreria per creare il cookie, potrebbe essere un parametro facoltativo.
Per alcune informazioni generali, consulta la pagina OWASP SecureFlag .
Da quando hai notato Exchange 2010, presumo che si tratti di un componente di posta elettronica basato sul Web che consente agli utenti di leggere la posta elettronica nel browser anziché Outlook, ecc. Questa dovrebbe essere un'opzione nella tua web.config che può essere trovata sotto un percorso come Program Files\Microsoft\Exchange Server\V14\ClientAccess\Owa . Dopo la tua navigazione, vedo che questo era già risposto su ServerFault
<httpCookies httpOnlyCookies="true" requireSSL="true"/>