Сбой соответствия Mcafee PCI для файла cookie идентификатора сеанса?

Question

Я пытаюсь получить соответствие PCI для своего сайта, но сканирование безопасности Mcafee выдало:

Potential Sensitive Persistent Cookie Sent Over a Non-Encrypted (SSL) Channel

Drupal (поведение по умолчанию) устанавливает сессионный cookie, когда вы просто заходите на сайт. Это вызывает проблему. Очевидно, что весь сайт не должен быть под SSL; множество других сайтов устанавливают сессионные куки, как это.

Что дает?

Answer 1

Какая версия Drupal?

Вы можете рассмотреть Pressflow форка Drupal, который переносит некоторые исправления из Drupal 7 в более ранние версии. Одним из примечательных из них является то, что он не устанавливает сессионный cookie для анонимных пользователей, если они не нужны. Предполагая, что вам не нужны файлы cookie, вы можете обойти эту проблему.