Sicheres Cookie mit HttpOnly und Secure Flag

Ohne das HttpOnly- und Secure-Flag im HTTP-Antwortheader ist es möglich, Webanwendungssitzungen und Cookies zu stehlen oder zu bearbeiten. Wenn ein sicheres Flag verwendet wird, wird das Cookie nur über HTTPS gesendet.
In diesem Fall kann der Angreifer, der den Kommunikationskanal vom Browser zum Server abhört, das Cookie nicht lesen.

Der Online Tool “Geekflare Secure Cookie Test” überprüft die HTTP-Antwortheader auf Set-Cookie.

 

Link: https://gf.dev/secure-cookie-test

Beispiel: HTTPOnly ohne Secure Flag

Beispiel : HTTPOnly mit Secure Flag

In Domino V11 und niedriger wird die Konfiguration des Web Server für secure Cookies (HttpOnly- und Secure-Flag im HTTP-Antwortheader) nicht unterstützt.

Alternativen:

  1. Implementierung in die Anwendung
  2. Webserver mit HTTPOnly und Secure Flag Funktion vor den Domino Server setzen zum Beispiel: Apache HTTP Server oder nginx
  3. Zur Aufnahme auf die Featurelist von Domino bitte hier voten: https://domino-ideas.hcltechsw.com/ideas/DOMINO-I-1055

 

Schreibe einen Kommentar