Fachgruppe Informatik Wiki

User Tools

Site Tools

it_best_practise:apache:secure_coockie

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
it_best_practise:apache:secure_coockie [2017/02/24 09:54] 1wxK1zECzQbIBrK7Hg90LtrDQIrgHxIDgNmMBP7wNwDoDUsl9qLVXOpB9afh4hZIit_best_practise:apache:secure_coockie [2024/02/27 11:41] (current) – external edit 127.0.0.1
Line 9: Line 9:
  
 ==== Secure Flag ==== ==== Secure Flag ====
-Falls eine Website über HTTP und HTTPS erreichbar ist, werden gespeicherte Cookies bei Zugriff über HTTP unverschlüsselt versendet. D.h. selbst wenn ein User normalerweise auf eine Seite nur über HTTPS zugreift, kann ein Angreifer seine Cookies unverschlüsselt abgreifen, falls er es schafft, dass der User auf die HTTP Version zugreift. +Falls eine Website über HTTP und HTTPS erreichbar ist, werden gespeicherte Cookies bei Zugriff über HTTP unverschlüsselt versendet. D.h. selbst falls ein User normalerweise auf eine Seite nur über HTTPS zugreift, kann ein Angreifer seine Cookies unverschlüsselt abgreifen, sobald er es schafft, dass der User auf die HTTP Version zugreift. 
 Um dies zu verhindern kann das Secure Flag eines Cookies gesetzt werden. Dadurch wird ein Cookie nur noch bei einer HTTPS Verbindung übertragen. Dies bedeutet jedoch auch, dass das Cookie über eine HTTP Verbindung nicht mehr zur Verfügung steht. Um dies zu verhindern kann das Secure Flag eines Cookies gesetzt werden. Dadurch wird ein Cookie nur noch bei einer HTTPS Verbindung übertragen. Dies bedeutet jedoch auch, dass das Cookie über eine HTTP Verbindung nicht mehr zur Verfügung steht.
  
 ==== HTTP Only Flag ==== ==== HTTP Only Flag ====
  
-Wenn ein Cookie von einem Server zu einem Client geschickt wird, ist es ohne gesetztes HTTP Only Flag möglich, über Java Script Cookie Informationen auszulesen. Falls es einem Angreifer folglich gelingt, auf einem Client Programm Java Script auszuführen, hat er auch Zugriff auf sämtliche Cookies. Um dies zu verhindern kann das HTTP Only Flag gesetzt werden. Ein Browser, welcher dieses Flag unterstützt, wird dadurch verhindern, dass COokie Informationen durch Client-seitigen Code ausgelesen werden kann.+Wenn ein Cookie von einem Server zu einem Client geschickt wird, ist es ohne gesetztes HTTP Only Flag möglich, über Java Script Cookie Informationen auszulesen. Falls es einem Angreifer folglich gelingt, auf einem Client Programm Java Script auszuführen, hat er auch Zugriff auf sämtliche Cookies. Um dies zu verhindern kann das HTTP Only Flag gesetzt werden. Ein Browser, welcher dieses Flag unterstützt, wird dadurch verhindern, dass Cookie Informationen durch Client-seitigen Code ausgelesen werden können.
  
 ==== Setzen des Secure & HTTP Only Flags für alle Cookies ==== ==== Setzen des Secure & HTTP Only Flags für alle Cookies ====
Line 25: Line 25:
 </code> </code>
  
-Zwecks Modularität macht es allerdings Sinn, dies in einer eigenen bzw. bereits vorhanden Konfigurationsdatei einzufügen (z.B. security.conf im Unterordner apache2/conf-available/). Dadurch kann man flexible die Konfiguration ein und ausschalten falls nötig (a2enconf bzw. a2disconf).+Im Anschluss muss der Apache Webserver neugestartet werden um die aktualisierte Konfiguration zu laden. Zwecks Modularität macht es allerdings Sinn, den Code in einer eigenen bzw. bereits vorhanden Konfigurationsdatei einzufügen (z.B. security.conf im Unterordner apache2/conf-available/). Dadurch kann man flexibel die Konfiguration ein und ausschalten falls nötig (a2enconf bzw. a2disconf). 
 + 
 +==== Weitere Versionsinformationen ==== 
 + 
 +  * OS: CentOS 7.3.1611 
 +  * Webserver: Apache 2.4.6 
 + 
 +Hier erfolgt der Eintrag in die **httpd.conf** Datei im Verzeichnis /etc/httpd/conf bzw. in einer eigenen Konfigurationsdatei im Verzeichnis /etc/httpd/conf.d 
it_best_practise/apache/secure_coockie.1487930096.txt.gz · Last modified: 2024/02/27 11:39 (external edit)