Назад | Перейти на главную страницу

Установка флажка безопасности для файлов cookie из Outlook Web Access

Я использую Exchange 2007 SP3, который предоставляет доступ к Outlook только через HTTPS. Однако сервер доставляет sessionid cookie без secure установлен флаг. Несмотря на то, что у меня нет открытого порта 80, этот файл cookie по-прежнему уязвим для кражи через порт 80 в случае атаки «злоумышленник в середине». Это также способствует сбою PCI-DSS.

Кто-нибудь знает, могу ли я убедить веб-сервер / приложение установить флаг безопасности?

Вы действительно можете. Ваш вопрос заинтересовал меня, поэтому я протестировал его, и он работает.

В web.config приложения OWA (которое по умолчанию находится в \ Program Files \ Microsoft \ Exchange Server \ ClientAccess \ Owa на диске, на котором вы установили Exchange) установите следующие параметры в <system.web> раздел:

<httpCookies httpOnlyCookies="true" requireSSL="true"/>