Privileged Access Manager (以下、PAM) のアプライアンスにセキュリティスキャナを実行したら、いくつかの cookie が HttpOnly の属性が設定されていないことが見つかった。
これはセキュリティ上の脆弱性になる可能性があるが、どのように対策したらよいか?
Privileged Access Manager: 4.1.7 までの全てのバージョン
ここで、HttpOnly 属性が設定されていない cookie と設定されていない場合にセキュリティリスクにならない理由について述べます。
cookie 名 | 説明 |
Xsuite_IdP_Proxy_Sticky | セッション管理や認証に使用されません。 |
jsid | PHPSESSIDのコピーとして作成されます。 セッションIDなどをロードするために用いられるため、HttpOnlyに設定できません。 |
fromindexphp | セッション管理や認証に使用されません。 |
JSESSIONID | セッション管理や認証に使用されません。 |
上記の通り、これらの HttpOnly 属性が設定されていない cookie はセッション情報を盗んだり、悪意のある攻撃に使用できません。
このため、これらの cookie に HttpOnly 属性が設定されていなくても、脆弱性のリスクとはなりません。
HttpOnly属性の詳細やこの属性が無い場合のセキュリティリスクなどについては製品以外の情報であるため、以下などの一般的な解説サイトをご参照ください。
なお、本KBは以下の英文 KB を翻訳し補足しました。
Article ID: 281920: Why are some cookies in PAM configured not to be HttpOnly ?