Definindo o sinalizador de segurança nos cookies do Outlook Web Access

4

Estou executando o Exchange 2007 SP3, que está expondo o acesso à web do outlook apenas por HTTPS. No entanto, o servidor entrega o cookie sessionid sem o sinalizador secure definido. Mesmo que eu não tenha a porta 80 aberta, esse cookie ainda é vulnerável a ser roubado pela porta 80 no caso de um ataque man-in-the-middle. Também contribui para uma falha do PCI-DSS

Alguém sabe se posso persuadir o servidor / aplicativo da Web a definir o sinalizador de segurança?

    
por Cheekysoft 26.06.2012 / 14:39

1 resposta

4

De fato você pode. Sua pergunta me deixou curiosa, então testei e funciona.

No web.config do aplicativo OWA (que, por padrão, reside em \ Arquivos de Programas \ Microsoft \ Exchange Server \ ClientAccess \ Owa na unidade em que você instalou o Exchange), defina o seguinte na seção <system.web> :

<httpCookies httpOnlyCookies="true" requireSSL="true"/>
    
por 26.06.2012 / 15:23