Estou executando o Exchange 2007 SP3, que está expondo o acesso à web do outlook apenas por HTTPS. No entanto, o servidor entrega o cookie sessionid sem o sinalizador secure definido. Mesmo que eu não tenha a porta 80 aberta, esse cookie ainda é vulnerável a ser roubado pela porta 80 no caso de um ataque man-in-the-middle. Também contribui para uma falha do PCI-DSS
Alguém sabe se posso persuadir o servidor / aplicativo da Web a definir o sinalizador de segurança?
De fato você pode. Sua pergunta me deixou curiosa, então testei e funciona.
No web.config do aplicativo OWA (que, por padrão, reside em \ Arquivos de Programas \ Microsoft \ Exchange Server \ ClientAccess \ Owa na unidade em que você instalou o Exchange), defina o seguinte na seção <system.web> :
<httpCookies httpOnlyCookies="true" requireSSL="true"/>