Мы проваливали наши сканирования PCI, потому что ColdFusion имеет предсказуемые CFID.Точный ФАЙЛ, который мы получаем, это «Предсказуемые идентификаторы сеансов cookie».Теперь CFTOKEN больше не является предсказуемым, поскольку я настроил CF для использования UUID для CFTOKEN, однако CFID все еще предсказуем и не подвержен никаким изменениям в CF Admin.
Я действительно не знаю, почему CFIDбыть предсказуемым - это угроза, но они хотят, чтобы мы ее исправили.
Мне не удалось найти что-либо по этому вопросу путем поиска в Google, и я действительно не уверен, что еще делать.
Кто-нибудь еще имел дело с чем-то вроде этого?Какие-либо предложения?
РЕДАКТИРОВАТЬ: Вот как выглядит мой файл Application.cfc:
<cfcomponent output="false">
<cfset this.name="DatabaseOnline">
<cfset this.sessionManagement=true>
<cfset this.setDomainCookies=true>
<cfset this.setClientCookies=true>
<cfset this.sessionTimeOut=#CreateTimeSpan(0,20,0,0)#>
</cfcomponent>
А мой администратор CF выглядит следующим образом: http://i.imgur.com/k9OZH.png
Так как отключитьCFID