資訊安全已成為一個重要議題。尤其是在許多資訊交換與傳輸過程中,安全措施的配置與強化是不可或缺的。本文主要針對Domino主機網站中,由於缺失「Secure Flag」而在Burb掃描時,被標籤為中度風險的問題進行深入探討。
主要發現:
Domino主機網站在Burb掃描時,常被標記為具有中度風險。主要的問題在於網站中的cookies缺乏Secure Flag(安全標記),使得網站難以完全通過網路安全需求。該漏洞被標記為”CWE-614: Sensitive Cookie in HTTPS Session” (“DOMINO-I-2099”, n.d.)。
目前建議在舊版9.0.1 可以透過
\Domino\data\properties
利用已有的
copy xsp.properties.sample xsp.properties
然後在最後一行加入
xsp.sessionid.cookie.secure=true
然後重置domino server或試著重置http 可以決解問題(目前在9.0.1測試)
討論:
Secure Flag是一種在cookie中添加的安全標記,主要目的是確保cookie只能透過安全(HTTPS)的連線進行傳輸。因此,缺乏Secure Flag會使cookie容易受到攻擊,增加被竊取的風險。為了在網路安全評估中完全通過安全需求,必須解決Secure Flag的配置問題。
結論:
總結來說,對於Domino主機網站來說,應將加強cookie的Secure Flag配置視為重要的工作。為了使網站能夠全面通過網路安全需求,我們必須將此問題列為修正的首要任務,以提供一個更為安全舒適的網路環境。
參考文獻:
“DOMINO-I-2099”. (n.d.). Domino Secured Cookie Settings. Retrieved from https://domino-ideas.hcltechsw.com/ideas/DOMINO-I-2099/idea_subscriptions.