我需要面对我所遇到的问题的专家意见/反馈.我有我正在研究的Magento站点之一的PCI合规报告. (Magento 1.4.1.1).该报告是使用nexpose生成的
PCI报告指出以下内容.
Missing Secure Flag From SSL Cookie (http-cookie-secure-flag)
描述:
Secure属性告诉浏览器仅在通过安全通道(例如HTTPS)发送请求时才发送cookie.这将有助于防止Cookie传递到未加密的请求中.如果可以同时通过HTTP和HTTPS访问该应用程序,则可能以明文形式发送cookie.
报告提到了以下参考文献OWASP-2010:A3和OWASP-2013:A2
PCI合规性证据失败:
Cookie未标记为安全:
'frontend=2tsnh10jssv89cg0a7n93bf4ji1
cmkn0; path=/; httponly;
domain=www.example.com'
URL: https://www.example.com/
解决方案建议:
对于您网站中通过SSL发送的每个Cookie,请在Cookie中添加“安全”标志.
所以我的问题是,要完全符合PCI标准,是否必须应对这一高风险?
我在SO上搜索后发现,在SSL安全站点的Magento cookie中,“安全”标记在哪里? .
1)您认为提供的解决方案足以克服该问题吗?
如发行说明中所述,我们有以下声明:
为店面添加了安全的cookie标志,以防止中间人攻击. “安全”和“不安全” Web配置选项没有任何变化.
如果我们从http切换到https连接,那时候没有安全标记.