Een overzicht van blogs geschreven door aanbieders die zich hebben aangesloten bij e-Learning.nl.
Schakel HttpOnly-cookie parameter in. Ik kan begrijpen dat alleen de titel van deze blog uit de serie Moodle Security al vraagtekens oproept. Voor systeembeheerders is dit wel dagelijkse kost. De HttpOnly-cookieparameter voorkomt bij de meeste moderne browsers dat de waarde van een cookie kan worden uitgelezen via de document.cookie DOM-property. Het inschakelen van deze parameter maakt het moeilijker voor een aanvaller om data van cookies te achterhalen wanneer de aanvaller door middel van een cross-site-scripting-kwetsbaarheid JavaScript in de browser van een slachtoffer kan uitvoeren.
Wat is het risico? Wanneer een cross-site-scripting-kwetsbaarheid aanwezig is, kan een aanvaller mogelijk onnodig data uit cookies achterhalen. En dat willen we niet en de oplossing is vrij simpel; Schakel de HttpOnly-cookie parameter in.
De instelling cookiehttponly kan je vinden via:
Sitebeheer | Veiligheid | HTTP Security https://moodlesite/admin/settings.php?section=httpsecurity
Sitebeheer | Veiligheid | HTTP Security
https://moodlesite/admin/settings.php?section=httpsecurity
© Avetica, Arnout Vree for Moodlefacts.nl, Nov 2017. | Permalink Post tags: Cookiebeheer, httponly, Moodle Security
Moodlefacts is een initiatief van Avetica, dé Moodle expert van Nederland en België. Het bericht Moodle Security (9): Schakel HttpOnly-cookie parameter in verscheen eerst op Moodlefacts.nl.
Naam (verplicht) Naam Is Verplicht
E-mail (verplicht) E-mail Is Verplicht Ongeldig E-mailadres
Commentaar Is Verplicht
Bericht mij via e-mail over vervolg commentaar