SMSESSION cookie的安全和HttpOnly破坏了登录功能

Question

由于为我们的应用程序所做的安全扫描(SCABBA)中的漏洞，我们在SMESSION cookie中添加了secure和HttpOnly。现在，我们面临的问题是，当我从一个应用程序重定向到另一个应用程序时(所有应用程序都处于单点登录下)，一些时间会话会在5-10分钟内失效。我们要重定向到登录页面。

我希望我们做的SMSESSION修复会导致这些问题，但也不确定。有些地方我得到了下面的信息

siteminder生成的smsession总是加密格式，也是高度安全的方式。我们可以为siteminder实现安全的http专用标志，但同样地，在将这些标志实现到cookie之后可能会出现一些功能问题。(a)从HTTP迁移到HTTPs时，无缝将中断，反之亦然，(我们都只有https )，(b)可能会出现很少的会话维护问题(c)注销功能可能会中断。这是我们在过去几个案例中所经历的几次破坏。。

有人能想到吗？

提前感谢

-Regards，Raviteja Koditiwada

Answer 1

HTTPS要么全部要么什么都不是。如果应用程序通过HTTP泄露其会话id，那么该帐户就会受到破坏，这就是为什么Facebook现在完全是HTTPS。在不安全的通道上泄漏会话id违反了OWASP传输层安全性不足，也是OWASP十大最常见的web应用程序漏洞之一。

web应用程序可以使用secure cookie标志来防止纯文本HTTP请求包含会话id。因此，浏览器发送的任何经过身份验证的请求都必须通过HTTPS、，这是安全所必需的。

secure和httponly cookie标志是重要的。告诉您的供应商修复此OWASP前10漏洞，并在其软件中查找其他OWASP十大违规行为。使用HTTP严格传输安全也是一个非常好的主意。