Définition de cookies sécurisés
En analysant un Drupal 7 avec Qualys, nous obtenons le problème
150122 Le cookie ne contient pas l'attribut "sécurisé"
Existe-t-il un moyen d'ajouter systématiquement l'indicateur Secure vs HTTPOnly aux cookies? Est-ce que Secure Cookie Data servirait cela? Si oui, comment puis-je vérifier que les cookies sont sécurisés?
De plus, ce site transmet automatiquement à https. L'utilisateur ne passe pas de temps sur le port 80 mais est directement transféré au 443. Nous avons un administrateur qui ne veut rien d'autre que de voir ce test réussi; indépendamment du fait précédent.
Le cookie en question:
has_js=1
Est-ce que ce qui suit dans settings.php serait suffisant:
ini_set('session.cookie_secure', 1);
ini_set('session.cookie_httponly', 1);
Il semble que je puisse dire à Apache de le faire pour moi:
Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
De quel cookie s'agit-il? Tous les cookies de Drupal 8 sont sécurisés.
L'exception est le cookie sans JS de BigPipe, voir https://www.drupal.org/node/2678628 - mais il n'y a aucune conséquence de sécurité.
Si c'est celui qui déclenche cette alerte, le problème est clair: votre outil de test de sécurité fait des déclarations générales qui n'ont pas de sens.