Question

Я попытался включить файлы cookie httpOnly в приложении проверки подлинности с помощью форм WSS 3.0 с помощью тега web.config. В отчете о сканировании безопасности Cenzic Hailstorm утверждается, что файлы cookie создаются с отключенным флагом, включая файл cookie .ASPXAUTH, один из которых связан с Discovery.asmx, а другой - с WSS_AccessibiltyFeature. Вот мои вопросы:

Есть ли какой-то способ, по которому сканирование может быть ошибочным?
Что-то, чего я не понимаю, о том, как создаются файлы cookie? Они освобождены от флага httpOnly?
Есть ли способ убедиться, что файлы cookie отправляются как httpOnly? Мне известно о надстройке Watcher для Fiddler, но я не смог заставить его работать (я общаюсь с разработчиком). Конечно, есть что-то еще, что может проверить куки.

Gyuri · Answer 1 · 10 ноября 2009

На самом деле, вы можете использовать Fiddler, чтобы просмотреть исходный HTTP-запрос. Это должно рассказать вам о файлах cookie httpOnly.

Подробнее об этом здесь: http://www.codinghorror.com/blog/archives/001167.html

Сканирование безопасности обнаруживает файлы cookie httpOnly в приложении ASP.NET, даже если оно отключено

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Сканирование безопасности обнаруживает файлы cookie httpOnly в приложении ASP.NET, даже если оно отключено

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы