4
ColdFusionに予測可能なCFIDがあるため、PCIスキャンに失敗しました。正確なFAILは「予測可能なCookieセッションID」です。 CFTOKENはCFTOKEN用にUUIDを使用するようにCFを設定して以来、CFTOKENは予測できなくなりましたが、CFIDはまだ予測可能であり、CF Adminの変更によって影響を受けません。PCI適合のためにCFIDを保護するにはどうすればよいですか?
予測可能なCFIDがなぜ脅威であるのかわかりませんが、私たちはそれを修正したいと考えています。
私はgoogelingによって何かを見つけることができませんでした。そして、私は本当に何をすべきか分かりません。
他に誰かがこのようなものを扱っていますか?助言がありますか?
EDIT:
<cfcomponent output="false">
<cfset this.name="DatabaseOnline">
<cfset this.sessionManagement=true>
<cfset this.setDomainCookies=true>
<cfset this.setClientCookies=true>
<cfset this.sessionTimeOut=#CreateTimeSpan(0,20,0,0)#>
</cfcomponent>
そして、私のCFの管理者は、次のようになります:http://i.imgur.com/k9OZH.png
それでは、どのように私はCFIDを無効にします。ここは私のApplication.cfcファイルは次のようになりますか?
これはまさに私がやったことです、そして、それはCFTOKENのために世話をしますが、彼らはCFIDもランダム化することを望んでいます。私はCFIDを無作為化しなければならない人はいないと聞いたことがあります。CFがユーザーを追跡する必要があるので、それが可能かどうかもわかりません。 – Amir
この設定を有効にすると、jsessionクッキーで置き換えられるので、もうCFIDクッキーを取得する必要はありません。クッキーをクリアしてから、もう一度やり直してください。 – baynezy
J2EEセッション変数をonにしても、それらをオフにしない限り、CFIDとCFTOKENのクッキーが得られます。この回答を見る:http://stackoverflow.com/a/268986/21960 – ale