Мне нужен экспертный комментарий / отзыв по проблеме, с которой я столкнулся. У меня есть отчет о соответствии требованиям PCI для одного из сайтов Magento, над которым я работаю. (Magento 1.4.1.1). Отчет был создан с помощью nexpose
В отчете PCI говорится следующее.
Отсутствует флаг безопасности из файла cookie SSL (http-cookie-secure-flag)
Описание:
Атрибут Secure указывает браузеру отправлять cookie только в том случае, если запрос отправляется по безопасному каналу, например HTTPS. Это поможет защитить файл cookie от передачи незашифрованных запросов. Если к приложению можно получить доступ как через HTTP, так и через HTTPS, существует вероятность того, что файл cookie может быть отправлен в виде открытого текста.
В отчете упоминаются следующие ссылки OWASP-2010: A3 и OWASP-2013: A2.
Доказательства несоблюдения требований PCI:
Cookie не помечены как безопасные:
'frontend=2tsnh10jssv89cg0a7n93bf4ji1
cmkn0; path=/; httponly;
domain=www.example.com'
URL: https://www.example.com/
Предлагаемое решение:
Для каждого файла cookie, отправляемого через SSL на вашем веб-сайте, добавьте к нему флажок «Безопасный».
Итак, мой вопрос: необходимо ли учитывать высокий риск, чтобы полностью соответствовать требованиям PCI?
Я искал на SO и нашел следующее, где находится тег «secure» в файле cookie Magento на защищенном сайте SSL? .
1) Считаете ли вы, что предоставленное решение достаточно хорошо для преодоления проблемы?
2) Будет обновлена до более поздней версии Magento помочь?
Как и в примечаниях к выпуску, у нас есть следующее заявление:
Добавлен флаг безопасного cookie для витрины магазина, чтобы предотвратить атаки типа "злоумышленник в середине". Параметры конфигурации "Безопасный" и "Небезопасный Интернет" остались без изменений.
Если мы переключимся с http на https соединение, тогда не будет безопасного флага ..
