Wir haben unsere PCI-Scans nicht bestanden, weil ColdFusion vorhersehbare CFIDs aufweist. Das genaue FAIL, das wir erhalten, ist "Vorhersagbare Cookie Session IDs". Jetzt ist der CFTOKEN nicht mehr vorhersehbar, da ich CF für die Verwendung von UUID für CFTOKEN konfiguriert habe. Die CFID ist jedoch immer noch vorhersehbar und von Änderungen in CF Admin nicht betroffen.Wie sichere ich CFID für die PCI-Compliance?
Ich weiß nicht wirklich, warum die CFID vorhersehbar ist eine Bedrohung, aber sie wollen, dass wir es beheben.
Ich konnte nichts über die Angelegenheit von googeling finden, und ich bin mir wirklich nicht sicher, was ich sonst tun soll.
Hat sich jemand anderes mit so etwas beschäftigt? Irgendwelche Vorschläge?
EDIT: Hier ist, was meine Application.cfc Datei wie folgt aussieht:
<cfcomponent output="false">
<cfset this.name="DatabaseOnline">
<cfset this.sessionManagement=true>
<cfset this.setDomainCookies=true>
<cfset this.setClientCookies=true>
<cfset this.sessionTimeOut=#CreateTimeSpan(0,20,0,0)#>
</cfcomponent>
Und mein CF Admin sieht wie folgt aus: http://i.imgur.com/k9OZH.png
Wie deaktiviere ich CFID?
Das ist genau das, was ich getan habe, und es kümmert sich um CFTOKEN, aber sie wollen CFID auch randomisiert werden, die ich einfach nicht bekomme. Ich habe noch nie von jemandem gehört, der CFID randomisieren muss, und ich weiß nicht einmal, ob das möglich ist, da CF dies benötigt, um die Benutzer zu verfolgen. – Amir
Sie sollten nicht mehr länger einen CFID-Cookie erhalten, wenn diese Einstellung diese durch den Jsession-Cookie ersetzt. Versuchen Sie, Ihre Cookies zu löschen und erneut zu starten. – baynezy
Auch wenn J2EE-Sitzungsvariablen aktiviert sind, erhalten Sie immer noch CFID- und CFTOKEN-Cookies, sofern Sie sie nicht deaktivieren. Siehe diese Antwort: http://stackoverflow.com/a/268986/21960 – ale