Mise en oeuvre de la sécurité des cookies

Certains cookies peuvent ne pas être sécurisés correctement dans le navigateur client. Ne pas sécuriser les cookies rend l'application vulnérable à l'interposition (man in the middle) et aux attaques de piratage de session. Pour résoudre ce problème, prenez les précautions suivantes.

Appliquez l'utilisation de SSL en permanence afin de réduire le risque d'interception des cookies sur la connexion.

Dans le serveur d'applications Web, définissez les indicateurs secure et httponly sur tous les cookies.

L'indicateur secure indique au navigateur d'envoyer le cookie uniquement une connexion HTTPS. Vous devez activer SSL sur toutes les applications qui communiquent entre elles si vous définissez cet indicateur.

L'indicateur httponly empêche l'accès des cookies via un script côté client.

Configuration des indicateurs dans WebLogic

Pour configurer les indicateurs secure et httponly, utilisez la procédure suivante.

Voir la documentation de WebLogic pour des détails complets.

1.	Si Marketing Platform est déployé et est en cours d'exécution, arrêtez-le et annulez le déploiement.

2.	Extrayez le fichier WAR Marketing Platform.

3.	Editez le fichier weblogic.xml pour définir les indicateurs secure et httponly.

4.	Recréez le fichier WAR Marketing Platform, redéployez et redémarrez.

Configuration des indicateurs dans WebSphere

Configurez les indicateurs secure et httponly dans la console d'administration WebSphere comme suit.

Voir la documentation de WebSphere pour des détails complets.

Au niveau d'application pour Marketing Platform, procédez comme suit.

1.	Accédez à Session Management et cliquez sur Enable cookies.

2.	Sélectionnez Restrict cookies to HTTPS sessions and Set session cookies to HTTPOnly to help prevent cross-site scripting attacks.

3.	Sauvegardez et appliquez vos modifications.

4.	Arrêtez et redémarrez l'application Marketing Platform.