Ho una situazione in cui eseguiamo scansioni di conformità PCI esterne contro il nostro server EFT Globalscape. La scansione sta segnalando:
HTTP (443 / tcp) - Cookie di applicazioni Web non contrassegnati sicuri
Per il nostro fornitore di conformità PCI esterno:
The cookies that need to be addressed are passchangesession and loginsession which are found in the Details section to the left of the Exception Request tab. For each, we need the following information: The name of the cookie detected A description of what the detected cookie's purpose is (e.g., load balancing, third-party tracking) If the cookies are session cookies, then the secure flag needs to be set and a rescan done to demonstrate this change.
Cookie in questione:
Name : passchangesession
Name : loginsession
Ho confermato che sono cookie di sessione. Ma Globalscape non ha fornito una soluzione su come impostare il flag di sicurezza. Tutto il traffico EFT è limitato anche a TLS 1.2 HTTPS e neghiamo HTTP. Ma questo non è un controllo compensativo accettabile o una ricerca non valida per venditore.
La risposta Globalscapes era:
EFT Server does secure its session cookies when accessed over HTTPS (HTTP over SSL). What the scanner is picking up is a special case where the server is being accessed over plain-text HTTP, and EFT Server is redirecting the session temporarily over to HTTPS (to secure the login sequence), and subsequently (post login), back to HTTP. In the case of plain-text HTTP sessions, the secure flag should not be set for cookies. Please refer to the recommendations section below for more information.
Qualcun altro è stato in grado di mitigare questo e / o ottenere l'approvazione di un'eccezione?