Blog

Moodle Security (9): Schakel HttpOnly-cookie parameter in

6 november 2017

Schakel HttpOnly-cookie parameter in. Ik kan begrijpen dat alleen de titel van deze blog uit de serie Moodle Security al vraagtekens oproept. Voor systeembeheerders is dit wel dagelijkse kost. De HttpOnly-cookieparameter voorkomt bij de meeste moderne browsers dat de waarde van een cookie kan worden uitgelezen via de document.cookie DOM-property. Het inschakelen van deze parameter maakt het moeilijker voor een aanvaller om data van cookies te achterhalen wanneer de aanvaller door middel van een cross-site-scripting-kwetsbaarheid JavaScript in de browser van een slachtoffer kan uitvoeren.

HttpOnly

Wat is het risico? Wanneer een cross-site-scripting-kwetsbaarheid aanwezig is, kan een aanvaller mogelijk onnodig data uit cookies achterhalen. En dat willen we niet en de oplossing is vrij simpel; Schakel de HttpOnly-cookie parameter in.

De instelling cookiehttponly kan je vinden via:

Sitebeheer | Veiligheid | HTTP Security

https://moodlesite/admin/settings.php?section=httpsecurity

Tags

 

Laat een reactie achter

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

*

Om te controleren of jij een mens bent, maak de onderstaande rekensom. * Time limit is exhausted. Please reload CAPTCHA.