Falls eine Website über HTTP und HTTPS erreichbar ist, werden gespeicherte Cookies bei Zugriff über HTTP unverschlüsselt versendet. D.h. selbst wenn ein User normalerweise auf eine Seite nur über HTTPS zugreift, kann ein Angreifer seine Cookies unverschlüsselt abgreifen falls er es schafft, dass der User auf die HTTP Version zugreift. Um dies zu verhindern kann das Secure Flag eines Cookies gesetzt werden. Dadurch wird ein Cookie nur noch bei einer HTTPS Verbindung übertragen. Dies bedeutet jedoch auch, dass das Cookie über eine HTTP Verbindung nicht mehr zur Verfügung steht.

TODO

Im Folgenden wird beschrieben, wie es möglich ist, die angesprochenen Flags global für Cookies zu setzen. Es besteht auch die Möglichkeit das Flag in der Applikationssoftware individuell für spezifische Cookies zu setzen.

Folgender Befehl muss abhängig von der Apache Version in die httpd.conf bzw. apache2.conf (normalerweise unter /etc/apache2/) eingefügt werden:

Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure

Zwecks Modularität macht es allerdings Sinn, dies in einer eigenen bzw. bereits vorhanden Konfigurationsdatei einzufügen (z.B. security.conf im Unterordner apache2/conf-available/). Dadurch kann man flexible die Konfiguration ein und ausschalten falls nötig (a2enconf bzw. a2disconf).