Development #76809
poser HttpOnly sur le cookie OPENED_SESSION_COOKIE_NAME
0%
Description
Pour un audit qui dit :
L’absence de l’attribut HttpOnly, combinée à une vulnérabilité de Cross Site Scripting affectant
l’application permettrait à un attaquant de récupérer le cookie de session via un code JavaScript
malveillant.
(oui il ne s'agit pas d'un cookie de session etc. mais ça fera taire l'audit).
Révisions associées
misc: make opened session cookie http only and secure (#76809)
Historique
Mis à jour par Robot Gitea il y a environ un an
- Statut changé de Nouveau à En cours
Benjamin Dauvergne (bdauvergne) a ouvert une pull request sur Gitea concernant cette demande :
- URL : https://git.entrouvert.org/entrouvert/authentic/pulls/42
- Titre : WIP: misc: make opened session cookie http only and secure (#76809)
- Modifications : https://git.entrouvert.org/entrouvert/authentic/pulls/42/files
Mis à jour par Benjamin Dauvergne il y a environ un an
Pour secure je reprendre la valeur de SESSION_COOKIE_SECURE (y pas de raison de faire moins bien) pour HttpOnly je met toujours vrai parce que je ne connais aucun usage de ce cookie en JS, supposons que nous n'en introduirons jamais.
Mis à jour par Robot Gitea il y a environ un an
Benjamin Dauvergne (bdauvergne) a ouvert une pull request sur Gitea concernant cette demande :
- URL : https://git.entrouvert.org/entrouvert/authentic/pulls/43
- Titre : misc: set secure and http-only for cookie 'cookie-test' (#76809)
- Modifications : https://git.entrouvert.org/entrouvert/authentic/pulls/43/files
Mis à jour par Robot Gitea il y a environ un an
- Statut changé de Solution proposée à Solution validée
Emmanuel Cazenave (ecazenave) a approuvé une pull request sur Gitea concernant cette demande :
Mis à jour par Robot Gitea il y a environ un an
- Statut changé de Solution validée à Résolu (à déployer)
Benjamin Dauvergne (bdauvergne) a mergé une pull request sur Gitea concernant cette demande :
- URL : https://git.entrouvert.org/entrouvert/authentic/pulls/43
- Titre : misc: set secure and http-only for cookie 'cookie-test' (#76809)
- Modifications : https://git.entrouvert.org/entrouvert/authentic/pulls/43/files
Mis à jour par Transition automatique il y a environ un an
- Statut changé de Résolu (à déployer) à Solution déployée
Mis à jour par Robot Gitea il y a 3 mois
Benjamin Dauvergne (bdauvergne) a fermé une pull request sur Gitea concernant cette demande.
Mis à jour par Benjamin Dauvergne il y a 3 mois
- Statut changé de Fermé à Nouveau
C'est cookie-test qui a été traité dans le ticket poussé, pas le bon cookie.
Mis à jour par Robot Gitea il y a 3 mois
- Statut changé de Nouveau à En cours
Benjamin Dauvergne (bdauvergne) a commencé à travailler sur une pull request sur Gitea concernant cette demande :
- URL : https://git.entrouvert.org/entrouvert/authentic/pulls/42
- Titre : WIP: misc: make opened session cookie http only and secure (#76809)
- Modifications : https://git.entrouvert.org/entrouvert/authentic/pulls/42/files
Mis à jour par Robot Gitea il y a 3 mois
- Statut changé de Solution proposée à En cours
Thomas NOËL (tnoel) a relu et demandé des modifications sur une pull request sur Gitea concernant cette demande :
Mis à jour par Robot Gitea il y a 3 mois
- Statut changé de Solution proposée à Solution validée
Thomas NOËL (tnoel) a approuvé une pull request sur Gitea concernant cette demande :
Mis à jour par Robot Gitea il y a 3 mois
- Statut changé de Solution validée à Résolu (à déployer)
Benjamin Dauvergne (bdauvergne) a mergé une pull request sur Gitea concernant cette demande :
- URL : https://git.entrouvert.org/entrouvert/authentic/pulls/42
- Titre : misc: make opened session cookie http only and secure (#76809)
- Modifications : https://git.entrouvert.org/entrouvert/authentic/pulls/42/files
Mis à jour par Transition automatique il y a 3 mois
- Statut changé de Résolu (à déployer) à Solution déployée
misc: set secure and http-only for cookie 'cookie-test' (#76809)