Modify

Opened 11 years ago

Closed 11 years ago

#349 closed Bug/Fehler (fixed)

HttpOnly für Session-Cookie setzen

Reported by: anonymous Owned by: somebody
Priority: normal Milestone: modified-shop-2.0.0.0
Component: Sicherheit Version: 2.0.0.0
Keywords: Cc:
Blocked By: Blocking:

Description

In includes/functions/sessions.php

am Anfang bei den ini_set()-Aufrufen 

# 20110707 pl1: keinen direkten Zugriff per Javascript auf SessionCookie in modernen Browsern erlauben
@ini_set('session.cookie_httponly', true);

einfügen.

Attachments (0)

Change History (4)

comment:1 by Torsten Riemer, 11 years ago

Version: 1.062.0

comment:2 by Torsten Riemer, 11 years ago

Summary: HttpOnly für Session-Sookie setzenHttpOnly für Session-Cookie setzen

comment:3 by pl1, 11 years ago

Noch als Hinweis: Das Sessioncookie wird bei httponly auch bei AJAX-Requests an den Shopserver zurückgesendet. Das fügt der Browser beim Request selbständig hinzu. Man braucht also keine Angst haben, dass etwas bei httponly verloren geht.

Es geht hier nur darum, dass von Javascript aus das Sessioncookie nicht mehr abgeschnorchelt werden kann, z.B. durch eingebundenes Drittanbieterjavascript oder eine XSS-Lücke im Shop.

comment:4 by Gerhard Waldemair, 11 years ago

Resolution: fixed
Status: newclosed

In 7085:

fix #349

Modify Ticket

Action
as closed The owner will remain somebody.
The resolution will be deleted. Next status will be 'reopened'.

Add Comment
E-mail address and name can be saved in the Preferences .
AttachmentsDescription
 
Note: See TracTickets for help on using tickets.