Attualmente sono nel bel mezzo di una valutazione della vulnerabilità e ho scoperto che i cookie non hanno Secure o HttpOnly set. Ho raccomandato di impostare entrambi su true per i loro cookie, ma gli sviluppatori hanno risposto che non lo faranno, per i seguenti motivi:
- Non saranno in grado di eliminare il cookie quando si disconnette tramite javascript
- Il cookie viene utilizzato solo per metadati, non per autenticare richieste di dati
Questa è una difesa valida? Non riesco a trovare alcun motivo (correlato alla sicurezza) per aver scelto di eliminare un cookie tramite l'impostazione Secure e HttpOnly.