Project

General

Profile

Development #76809

poser HttpOnly sur le cookie OPENED_SESSION_COOKIE_NAME

Added by Frédéric Péters 12 months ago. Updated 3 months ago.

Status:
Fermé
Priority:
Normal
Category:
-
Target version:
-
Start date:
20 April 2023
Due date:
% Done:

0%

Estimated time:
Patch proposed:
No
Planning:
No

Description

Pour un audit qui dit :

L’absence de l’attribut HttpOnly, combinée à une vulnérabilité de Cross Site Scripting affectant
l’application permettrait à un attaquant de récupérer le cookie de session via un code JavaScript
malveillant.

(oui il ne s'agit pas d'un cookie de session etc. mais ça fera taire l'audit).

Associated revisions

Revision fa13b52a (diff)
Added by Benjamin Dauvergne 12 months ago

misc: set secure and http-only for cookie 'cookie-test' (#76809)

Revision 670481b0 (diff)
Added by Benjamin Dauvergne 3 months ago

misc: make opened session cookie http only and secure (#76809)

History

#1

Updated by Benjamin Dauvergne 12 months ago

  • Assignee set to Benjamin Dauvergne
#2

Updated by Robot Gitea 12 months ago

  • Status changed from Nouveau to En cours

Benjamin Dauvergne (bdauvergne) a ouvert une pull request sur Gitea concernant cette demande :

#3

Updated by Benjamin Dauvergne 12 months ago

Pour secure je reprendre la valeur de SESSION_COOKIE_SECURE (y pas de raison de faire moins bien) pour HttpOnly je met toujours vrai parce que je ne connais aucun usage de ce cookie en JS, supposons que nous n'en introduirons jamais.

#4

Updated by Robot Gitea 12 months ago

  • Status changed from En cours to Solution proposée
#5

Updated by Robot Gitea 12 months ago

Benjamin Dauvergne (bdauvergne) a ouvert une pull request sur Gitea concernant cette demande :

#6

Updated by Robot Gitea 12 months ago

  • Status changed from Solution proposée to Solution validée

Emmanuel Cazenave (ecazenave) a approuvé une pull request sur Gitea concernant cette demande :

#8

Updated by Robot Gitea 12 months ago

  • Status changed from Solution validée to Résolu (à déployer)

Benjamin Dauvergne (bdauvergne) a mergé une pull request sur Gitea concernant cette demande :

#9

Updated by Transition automatique 12 months ago

  • Status changed from Résolu (à déployer) to Solution déployée
#10

Updated by Transition automatique 10 months ago

Automatic expiration

#11

Updated by Robot Gitea 3 months ago

Benjamin Dauvergne (bdauvergne) a fermé une pull request sur Gitea concernant cette demande.

#12

Updated by Benjamin Dauvergne 3 months ago

  • Status changed from Fermé to Nouveau

C'est cookie-test qui a été traité dans le ticket poussé, pas le bon cookie.

#13

Updated by Robot Gitea 3 months ago

  • Status changed from Nouveau to En cours

Benjamin Dauvergne (bdauvergne) a commencé à travailler sur une pull request sur Gitea concernant cette demande :

#14

Updated by Robot Gitea 3 months ago

  • Status changed from En cours to Solution proposée
#15

Updated by Robot Gitea 3 months ago

  • Status changed from Solution proposée to En cours

Thomas NOËL (tnoel) a relu et demandé des modifications sur une pull request sur Gitea concernant cette demande :

#16

Updated by Benjamin Dauvergne 3 months ago

  • Status changed from En cours to Solution proposée
#17

Updated by Robot Gitea 3 months ago

  • Status changed from Solution proposée to Solution validée

Thomas NOËL (tnoel) a approuvé une pull request sur Gitea concernant cette demande :

#18

Updated by Robot Gitea 3 months ago

  • Status changed from Solution validée to Résolu (à déployer)

Benjamin Dauvergne (bdauvergne) a mergé une pull request sur Gitea concernant cette demande :

#19

Updated by Transition automatique 3 months ago

  • Status changed from Résolu (à déployer) to Solution déployée
#20

Updated by Transition automatique 26 days ago

Automatic expiration

Also available in: Atom PDF