我需要专家对我面临的问题的评论/反馈。我有PCI合规报告的Magento网站之一,我正在工作。(线上购物1.4.1.1)。报告是使用 expose
生成的PCI报告如下:
SSL Cookie中缺少安全标志(http-cookie-secure-flag)
描述:
Secure属性告诉浏览器仅在通过安全通道(如HTTPS)发送请求时才发送cookie。这将有助于保护cookie不被传递给未加密的请求。如果应用程序可以通过HTTP和HTTPS访问,那么就有可能以明文形式发送cookie。
报告提到了以下参考文献OWASP-2010: A3和OWASP-2013: A2
PCI合规失败的证据:
Cookie未被标记为安全:
'frontend=2tsnh10jssv89cg0a7n93bf4ji1
cmkn0; path=/; httponly;
domain=www.example.com'
URL: https://www.example.com/
解决方案建议:
在您的网站上通过SSL发送的每个cookie,在cookie上添加"安全"标志。
所以我的问题是,这是一个高风险,必须处理完全符合PCI ?
我在SO上搜索并发现以下在SSL安全站点上Magento cookie中的"安全"标签在哪里?.
1)你认为提供的解决方案足以克服这个问题吗?
2)升级到更高版本的Magento有帮助吗?
在发行说明中,我们有以下声明:
为店面添加安全cookie标志,防止中间人攻击。"安全"answers"不安全"Web配置选项没有更改。
如果我们从http
切换到https
连接,此时没有安全标志。
说明如下:http://blog.elementps.com/element_payment_solutions/2013/12/new-pci-dss-session-management-requirements-.html
新的PCI DSS要求https cookie被标记为安全。所以首先你的网站应该使用SSL来保护敏感数据。当你使用SSL并且你发送cookie到客户端时,你需要将cookie标记为安全,这样cookie将无法通过HTTP协议读取。
对于你的问题的最后一部分,是的,有SSL,标记你的cookie 安全和HttpOnly应该照顾PCI要求。
有额外的要求,例如,会话ID应该是唯一的,应该正确无效(没有会话固定),没有会话ID超过URL等,但我不认为你有这些问题。
要解决此问题,您可以尝试:https://community.magento.com/t5/Version-Upgrades/Secure-cookie-flag/td-p/2997或https://github.com/lukanetconsult/mage-secure-cookie