Bug #1006

Cookie nicht auf richtige (Sub-) Domain gesetzt

Added by Rotzbua about 3 years ago. Updated about 3 years ago.

Status:neu% Done:

0%

Priority name:3 hoch
Assignee:-
Target version:-
Ticket Referenz: Kategorien:

Description

Konkret sollte eigentlich der Session-Cookie immer auf die Domain gesetzt werden, auf welche die OC-Instanz gerade läuft.

Gibt es also einen Grund warum die Cookies nur auf opencaching.de gesetzt werden und nicht auf www.opencaching.de bzw. beim Testsystem auf test.opencaching.de?

History

#1 Updated by Rotzbua about 3 years ago

Wichtig ist das unter dem Gesichtspunkt Security:

Beispiel:
Login über https://www.opencaching.de
-> Cookie: .opencaching.de; MiTM kann nicht mitlesen da https

Besuch des Forums http://forum.opencaching.de
-> Cookie wird mitgeschickt über http -> MiTM kann mitlesen und Session entführen

Also available in: Atom PDF