Sicherheit von Cookies
Einige Cookies sind im Client-Browser möglicherweise nicht angemessen gesichert. Bei ungesicherten Cookies ist die Anwendung anfällig für Man-in-the-Middle- und Session-Hijacking-Angriffe. Um dies zu verhindern, ergreifen Sie die folgenden Vorsichtsmaßnahmen.
*
Erzwingen Sie stets die Verwendung von SSL, um die Gefahr zu verringern, dass Cookies bei der Übertragung abgefangen werden.
*
Legen Sie im Webanwendungsserver die Flags secure und httponly für alle Cookies fest.
*
Das Flag secure weist den Browser an, das Cookie ausschließlich über eine HTTPS-Verbindung zu senden. Wenn Sie dieses Flag festlegen, müssen Sie in allen Anwendungen, die miteinander kommunizieren, SSL aktivieren.
*
Das Flag httponly verhindern den Zugriff auf Cookies über ein Script auf Clientseite.
Festlegen der Flags in WebLogic
Gehen Sie wie folgt vor, um die Flags secure und httponly festzulegen.
*
Ausführliche Informationen finden Sie in der Dokumentation zu WebLogic.
1.
Wenn Marketing Platform bereitgestellt wurde und ausgeführt wird, müssen Sie es stoppen und die Bereitstellung zurücknehmen.
2.
Extrahieren Sie die WAR-Datei von Marketing Platform.
3.
Bearbeiten Sie die Datei weblogic.xml, um die Flags secure und httponly festzulegen.
4.
Erstellen Sie die WAR-Datei von Marketing Platform neu, führen Sie die Bereitstellung erneut aus und starten Sie das Programm erneut.
Festlegen der Flags in WebSphere
Gehen Sie wie folgt vor, um die Flags secure und httponly in der WebSphere-Administrationskonsole festzulegen.
*
Ausführliche Informationen finden Sie in der Dokumentation zu WebSphere.
Führen Sie auf der Anwendungsebene für Marketing Platform die folgenden Schritte aus.
1.
Navigieren Sie zu Session Management (Sitzungsmanagement) und klicken Sie auf Enable cookies (Cookies aktivieren).
2.
Aktivieren Sie Restrict cookies to HTTPS sessions (Cookies auf HTTPS-Sitzungen beschränken) und Set session cookies to HTTPOnly to help prevent cross-site scripting attacks 8Sitzungscookies auf HTTPOnly festlegen, um Cross-Site-Scripting-Angriffe zu verhindern).
3.
Speichern Sie die Änderungen und wenden Sie sie an.
4.
Stoppen Sie die Marketing Platform-Anwendung und starten Sie sie erneut.
Copyright IBM Corporation 2014. All Rights Reserved.