Bonsoir,
Dans la cadre d'une politique de sécurisation de mes sites, il me reste une erreur signalée par différents scanners de pentest :
INSECURE HTTP cookies
COOKIE NAME : SERVERID104280 // Flags missing : Secure, HttpOnly
Sachant que la commande "Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure" placée
dans le .HTACESS n'a aucune influence, comment peut on appliquer les flags "httponly" et "secure" au cookie technique SERVERID ?
Merci pour votre aide
Bien à vous
Pascal
Insecure HTTP cookies : SERVERID et "httponly" et "secure
Related questions
- Connexion à mon compte client
148378 
13.02.2019 09:51
- Serveur non sécurisé, celui-ci ne supporte pas FTP sur TLS
123442 03.09.2018 14:46
- reCAPTCHA erreur pour le propriétaire du site : clé de site non valide
108139 14.02.2019 16:17
- [FAQ] Comment mettre à jour mon site pour supporter Apache 2.4 ?
95341 28.07.2017 11:39
- Passage en php 7.4
94391 30.06.2020 05:05
- Augmenter taille PHP Post Max Size sur mutualisé ?
88745 04.12.2019 21:52
- The requested URL / was not found on this server
88019 02.03.2017 18:25
- Deploy d'un projet Node JS
87743 12.10.2016 20:18
- NextCloud sur mutualisé
87729 07.04.2017 08:42
- Ce site est inaccessible Impossible de trouver l'adresse DNS du serveur
87408 16.10.2016 16:24
Bonsoir,
Si vous avez trouvé la solution je suis preneur, OVH que proposez-vous ?
Pas trouvé de solution non plus sur un hébergement partagé
(Sur Chromium ça passe, mais sur Firefox toutes les intégrations Google map ne s'affiche pas)
Merci
Bonjour,
Ce problème est en train d'être réglé par OVH qui envoie un cookie samesite non sécurisé pour gérer la charge de ses serveurs : SERVERID...
Je n'ai plus d'avertissement sur FireFox pour ce cookie mais OVH n'a peut-être pas terminé sa mise à jour.
Sur Chrome, ça passe dès fois ou pas, mais cela ne passera plus dans le futur car les cookies non sécurisés seront rejetés par les navigateurs.
Je mets ci-dessous un message que j'avais posté en Juin :
https://community.ovhcloud.com/community/fr/cookie-technique-serverid-invisible-avec-php-pas-de-possibilite-de-lui?id=community_question&sys_id=bb15b948f51646d02d4c5f7a9ab361b9 https://community.ovhcloud.com/community/fr/cookie-technique-serverid-invisible-avec-php-pas-de-possibilite-de-lui?id=community_question&sys_id=bb15b948f51646d02d4c5f7a9ab361b9
Pour le cookie de Session, je l'ai tout simplement viré en passant par des Query_String parce que les données à gérer n'étaient pas trop importantes.
Bonjour,
Un patch a bien été déployé la semaine dernière, vous n'aurez plus ces cookies SERVERID en situation nominale.
Alexandre