So fügen Sie Azure Session Cookies hinzu HttpOnly- und Secure-Attribute

Question

In meiner ASP.NET MVC 4-Anwendung verwende ich einen Dienst eines Drittanbieters. Eine der Nutzungsbedingungen des Dienstes ist das Hinzufügen aller Session-Cookies HttpOnly und Secure-Attribute.

WebSite gehostet auf Windows Azure und arbeitet auf SSL.

Ich habe web.config folgende Einstellungen zu verankern:

<httpCookies httpOnlyCookies="true" requireSSL="true" lockItem="true"/> 

<authentication mode="Forms"> 
    <forms loginUrl="~" timeout="2880" requireSSL="true" /> 
</authentication> 

meine Anwendung Session-Cookie ".ASPXAUTH" hat also jetzt Httponly und sichere Attribute.

Aber das Hauptproblem, dass Azure Balancer "WAWebSiteSID" und "ARRAffinity" Cookies haben diese Attribute nicht.

Können Sie mir helfen, die passende Lösung zu finden, um ihnen fehlende Attribute hinzuzufügen?

Answer 1

Ich glaube nicht, dass Sie die Attribute "secure" und "HttpOnly" ändern können, da die Cookies der Antwort unterhalb der App hinzugefügt werden (d. H. Durch eine Lastausgleichsanwendung vor der Site).

Natürlich ist die pragmatische Frage "warum"? Welchen Vorteil hätten Sie, wenn Sie nicht zulassen, dass ein Client-Skript oder ein MitM auf der Leitung auf diese Cookies zugreifen? Sie sind nichts anderes als Datenbytes, die Clients an Site-Instanzen binden sollen und nichts Persönliches enthalten und keinem Angreifer irgendwelche denkbaren Vorteile bieten (zumindest nicht, dass mir das einfällt).

Die Antwort ist wahrscheinlich, "weil es ein Sicherheits-Scan-Tool glücklich hält", wodurch Sie sich warm und unscharf fühlen können, aber es ändert natürlich nicht die praktische Sicherheitsposition der Website ein Iota.

Answer 2

Ab dem 24. Juni 2017 ändert sich dies und ARRAffinity-Cookies werden in Zukunft mit dem HttpOnly-Flag gesetzt. https://github.com/Azure/app-service-announcements/issues/12