web-dev-qa-db-ja.com

Outlook WebAccessからのCookieにセキュアフラグを設定する

HTTPSのみを介してOutlookWebAccessを公開しているExchange2007SP3を実行しています。ただし、サーバーはsessionidフラグを設定せずにsecureCookieを配信します。ポート80を開いていない場合でも、このCookieは、man-in-the-middle攻撃が発生した場合に、ポート80を介して盗まれる可能性があります。また、PCI-DSS障害の原因にもなります

Webサーバー/アプリケーションにセキュアフラグを設定するように説得できるかどうか誰かが知っていますか?

securityexchange-2007cookiesoutlook-web-app
4
Cheekysoft

確かにできます。あなたの質問に興味を持ったので、テストしてみました。

OWAアプリのweb.config(デフォルトではExchangeをインストールしたドライブの\ Program Files\Microsoft\Exchange Server\ClientAccess\Owaにあります)で、<system.web>セクションに次のように設定します。

<httpCookies httpOnlyCookies="true" requireSSL="true"/>
4
Chris McKeown