Я использую Exchange 2007 SP3, который предоставляет доступ к Outlook только через HTTPS. Однако сервер доставляет sessionid
cookie без secure
установлен флаг. Несмотря на то, что у меня нет открытого порта 80, этот файл cookie по-прежнему уязвим для кражи через порт 80 в случае атаки «злоумышленник в середине». Это также способствует сбою PCI-DSS.
Кто-нибудь знает, могу ли я убедить веб-сервер / приложение установить флаг безопасности?
Вы действительно можете. Ваш вопрос заинтересовал меня, поэтому я протестировал его, и он работает.
В web.config приложения OWA (которое по умолчанию находится в \ Program Files \ Microsoft \ Exchange Server \ ClientAccess \ Owa на диске, на котором вы установили Exchange) установите следующие параметры в <system.web>
раздел:
<httpCookies httpOnlyCookies="true" requireSSL="true"/>