我需要就我所面临的问题提供专家意见/反馈。我正在为我正在开发的Magento网站之一提供PCI合规报告。 (Magento 1.4.1.1)。报告是使用 nexpose
生成的PCI报告声明如下。
SSL Cookie中缺少安全标记(http-cookie-secure-flag)
说明:
Secure属性告诉浏览器仅在通过HTTPS等安全通道发送请求时才发送cookie。这有助于保护cookie不被传递给未加密的请求。如果可以通过HTTP和HTTPS访问应用程序,则可能会以明文形式发送cookie。
报告提到了以下参考文献OWASP-2010:A3和OWASP-2013:A2
PCI合规性失败的证据:
Cookie未标记为安全:
'frontend=2tsnh10jssv89cg0a7n93bf4ji1
cmkn0; path=/; httponly;
domain=www.example.com'
URL: https://www.example.com/
解决方案建议:
对于在您的网站上通过SSL发送的每个Cookie,添加"安全"标记为cookie。
所以我的问题是,为了完全符合PCI标准,必须处理高风险吗?
我在SO上搜索,发现在哪里安全' SSL安全网站上的Magento cookie中的标签?
1)您认为所提供的解决方案是否足以克服这个问题?
2)将升级到higher version of Magento help?
在发行说明中,我们有以下声明:
为店面添加了安全Cookie标记,以防止中间人攻击。安全和不安全的Web配置选项没有变化。
如果我们从http切换到https,那时没有安全标志..
答案 0 :(得分:3)
新PCI DSS要求将https cookie标记为安全。 首先,您的网站应该使用SSL来处理敏感数据。当您使用SSL并向客户端发送cookie时,您需要将cookie标记为安全,因此cookie将无法通过HTTP协议读取。
对于问题的最后一部分,是的,拥有SSL,标记您的Cookie 安全和 HttpOnly 应该照顾PCI要求。
还有其他要求,例如,会话ID应该是唯一的,应该是正确无效的(没有会话固定),没有URL的会话ID等等,但我不认为你有这些问题。
要解决此问题,您可以尝试: https://community.magento.com/t5/Version-Upgrades/Secure-cookie-flag/td-p/2997 要么 https://github.com/lukanetconsult/mage-secure-cookie