安全ではないとマークされた Web アプリケーションクッキー
info Nessus プラグイン ID 85602
Language:
概要
HTTP セッションクッキーは平文で伝送される可能性があります。説明
リモート Web アプリケーションが、ユーザーの認証済みおよび非認証済みのセッションを通じて、さまざまなクッキーを設定します。しかし、アプリケーションが暗号化されていない HTTP または「安全」とマークされていないクッキー上で稼働しているインスタンスが存在します。つまり、特定の条件下でブラウザがそれらを暗号化されていないリンクに送り返す可能性があります。結果として、リモートの攻撃者がこれらのクッキーを傍受できる可能性があります。注意:このプラグインは「安全」クッキーフラグがないすべての一般的なクッキーを検出します。一方、プラグイン 49218(安全ではないとマークされた Web アプリケーションクッキー)は安全なクッキーフラグのない認証済みセッションからセッションクッキーのみを検出します。
ソリューション
それぞれのクッキーを慎重に確認し、機密データを含んでいるか、あるいはセキュリティの決定の元となるかを判断します。可能であれば、すべての通信が暗号化されたチャネル上で発生するようにし、「安全な」属性をすべてのセッションクッキーまたは機密データを含むすべてのクッキーに追加してください。