ibm mobilefirst - Missing Secure attributes in cookies: WL_PERSISTENT_COOKIE and testcookie -

एक सुरक्षा स्कैन के परिणाम में, मुझे निम्न त्रुटि मिली:

"गुम सुरक्षित विशेषता एन्क्रिप्टेड सत्र (एसएसएल) कुकी में "WL_PERSISTENT_COOKIE और testcookie के लिए

मुझे पता नहीं है कि इन कुकीज़ के लिए सुरक्षित विशेषता को सेट करने के लिए, वेबस्पेयर सर्वर से यह सिर्फ मुझे JSESSIONID कुकी के लिए सुरक्षित विशेषता सेट करने की अनुमति देता है, लेकिन दूसरों के लिए नहीं।

मेरे एप्सकेन के परिणामों से ये मेरा निष्कर्ष है:

• testcookie : यह कुकी worklight.js फ़ाइल में उत्पन्न होती है । ऐप्स के अनुसार, एप्लिकेशन सर्वर ( GET /ParkingApp/apps/services/preview/SmarterParking/common/0/default/worklight/worklight.js HTTP / 1.1 पर एक अनुरोध भेजता है) और सर्वर इस फाइल के साथ प्रतिक्रिया करता है, जिसमें निम्न कोड टुकड़ा है:

    areCookiesEnabled: function () {var सक्षम = सच; यदि (WL.EnvProfile.isEnabled (WL.EPField.WEB)) {var तारीख = नया दिनांक (); Date.SsetTime (date.getTime () + (24 * 60 * 60 * 1000)); Document.cookie = "testcookie = oreo; की समाप्ति =" + date.toGMTString () + "; पथ = /"; Var cookie = getCookie ('testcookie'); सक्षम = (कुकी.वल्यू === 'ओरेओ'); } वापसी सक्षम; }  

  इसलिए मैं समझता हूं कि कुकी को इस फाइल में सेट किया गया है क्योंकि बाद के अनुरोध और प्रतिक्रियाएं testcookie का आदान-प्रदान करते हैं।

मैं इस फ़ाइल को कैसे संपादित कर सकता हूं क्योंकि यह कार्यप्रदर्शन में एक पूर्वनिर्धारित फ़ाइल है? क्या यह फाइल को संपादित करने के लिए यह एक अच्छा अभ्यास होगा ताकि मैं उस रेखा को सुरक्षित विशेषता में शामिल कर सकूं?

• WL_PERSISTENT_COOKIE : इस कुकी के साथ मैं थोड़ा सा अटक गई, वर्कलाइट सर्वर इस कुकी के लिए अनुरोध में दिखता है और यदि उसे नहीं मिला है तो इसे सेट-कुकी हैडर में ग्राहक को वापस भेजता है। दरअसल, यह है कि मैं सुरक्षा स्कैन में देख रहा हूं, हालांकि सर्वर ने सुरक्षित विशेषता के लिए यह कुकी सेट नहीं की है और मुझे वेबस्पेयर सर्वर सेटिंग्स में विकल्प नहीं मिलता है।

आप पहले से बहुत बहुत धन्यवाद!

संक्षिप्त उत्तर यह है कि इनमें से किसी भी कुकी के लिए सुरक्षित विशेषता सेट करने का कोई विकल्प नहीं है। इन 2 कुकीज़ संवेदनशील नहीं माना जाता है लेकिन ऐपस्केन यह नहीं जानता कि ये संवेदनशील कुकीज़ हैं या नहीं, और बस रिपोर्ट करता है कि कोई सुरक्षित विशेषता सेट नहीं है।

टेस्टक्यूकी के मामले में, यह क्लाइंट द्वारा केवल यह जांचने के लिए उपयोग किया जाता है कि क्या कुकीज़ हो सकती है सेट या नहीं इसका उपयोग सर्वर द्वारा बिल्कुल भी नहीं किया जाता है।

WL_PERSISTENT_COOKIE एक बेतरतीब ढंग से जेनरेट किया गया आईडी है, जब कोई अन्य उपयोगकर्ता पहचान स्थापित न हो ट्रैकिंग / रिपोर्टिंग जैसे उद्देश्य के लिए एक अनाम आईडी का प्रतिनिधित्व करने के लिए इसे आंतरिक रूप से उपयोग किया जाता है। यह उन संसाधनों की सुरक्षा के लिए उपयोग नहीं किया जाता है जो प्रमाणीकरण और प्राधिकरण की आवश्यकता होती है। इसलिए किसी WL_PERSISTENT_COOKIE टोकन को कैप्चर करना और इसे किसी अन्य डिवाइस या अन्य सत्र से उपयोग करना किसी भी अतिरिक्त या अलग विशेषाधिकार को नहीं देगा।