标签:pci-dss cookies magento security php
我需要面对我所遇到的问题的专家意见/反馈.我有我正在研究的Magento站点之一的PCI合规报告. (Magento 1.4.1.1).该报告是使用nexpose生成的
PCI报告指出以下内容.
Missing Secure Flag From SSL Cookie (http-cookie-secure-flag)
描述:
Secure属性告诉浏览器仅在通过安全通道(例如HTTPS)发送请求时才发送cookie.这将有助于防止Cookie传递到未加密的请求中.如果可以同时通过HTTP和HTTPS访问该应用程序,则可能以明文形式发送cookie.
报告提到了以下参考文献OWASP-2010:A3和OWASP-2013:A2
PCI合规性证据失败:
Cookie未标记为安全:
'frontend=2tsnh10jssv89cg0a7n93bf4ji1
cmkn0; path=/; httponly;
domain=www.example.com'
URL: https://www.example.com/
解决方案建议:
对于您网站中通过SSL发送的每个Cookie,请在Cookie中添加“安全”标志.
所以我的问题是,要完全符合PCI标准,是否必须应对这一高风险?
我在SO上搜索后发现,在SSL安全站点的Magento cookie中,“安全”标记在哪里? .
1)您认为提供的解决方案足以克服该问题吗?
2)将升级到higher version of Magento help?
如发行说明中所述,我们有以下声明:
为店面添加了安全的cookie标志,以防止中间人攻击. “安全”和“不安全” Web配置选项没有任何变化.
如果我们从http切换到https连接,那时候没有安全标记.
解决方法:
新的PCI DSS要求将https cookie标记为安全.
因此,您的网站首先应使用SSL来存储敏感数据.当您使用SSL并向客户端发送cookie时,需要将cookie标记为Secure,这样就无法通过HTTP协议读取cookie.
对于您的问题的最后一部分,是的,拥有SSL,将cookie标记为Secure和HttpOnly应该可以满足PCI要求.
还有其他要求,例如,会话ID应该是唯一的,应该正确地无效(没有会话固定),没有通过URL的会话ID,等等.但是我认为您没有这些问题.
要解决此问题,您可以尝试:
https://community.magento.com/t5/Version-Upgrades/Secure-cookie-flag/td-p/2997
要么
https://github.com/lukanetconsult/mage-secure-cookie
标签:pci-dss,cookies,magento,security,php 来源: https://codeday.me/bug/20191119/2036958.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。