Sicheres Cookie mit HttpOnly und Secure Flag
Ohne das HttpOnly- und Secure-Flag im HTTP-Antwortheader ist es möglich, Webanwendungssitzungen und Cookies zu stehlen oder zu bearbeiten. Wenn ein sicheres Flag verwendet wird, wird das Cookie nur über HTTPS gesendet.
In diesem Fall kann der Angreifer, der den Kommunikationskanal vom Browser zum Server abhört, das Cookie nicht lesen.
Der Online Tool „Geekflare Secure Cookie Test“ überprüft die HTTP-Antwortheader auf Set-Cookie.
Link: https://gf.dev/secure-cookie-test
Beispiel: HTTPOnly ohne Secure Flag
Beispiel : HTTPOnly mit Secure Flag
In Domino V11 und niedriger wird die Konfiguration des Web Server für secure Cookies (HttpOnly- und Secure-Flag im HTTP-Antwortheader) nicht unterstützt.
Alternativen:
- Implementierung in die Anwendung
- Webserver mit HTTPOnly und Secure Flag Funktion vor den Domino Server setzen zum Beispiel: Apache HTTP Server oder nginx
- Zur Aufnahme auf die Featurelist von Domino bitte hier voten: https://domino-ideas.hcltechsw.com/ideas/DOMINO-I-1055