Evolution #3821 : [sécurité - cookie] possibilité de gérer l'attribut « secure » du cookie spip session via une constante

ARNO* ART LIBRE 4/02/2018

Dis @SPIP, on me demande de répondre à des critères de sécurité « ANSSI », est-ce que tu peux me renseigner sur ces trois points ?

– R19 - Les identifiants de session sont aléatoires et d’une entropie d’au moins 128 bits.

– R21 - Les attributs HTTPOnly et, dans le cas d’un site en HTTPS, Secure sont associés à l’identifiant de session.

– R29- Définition d’une politique de journalisation précisant notamment les modalités et les durées de conservation des différents journaux ainsi que les méthodes d’analyse et de corrélation des données produites.

ARNO* ART LIBRE

severo @severo PUBLIC DOMAIN 5/02/2018

On peut les voir où ces critères ?

severo @severo PUBLIC DOMAIN
ARNO* @arno ART LIBRE 5/02/2018

On me les a collés dans un appel d’offre, mais la source est ici :
▻https://www.ssi.gouv.fr/uploads/IMG/pdf/NP_Securite_Web_NoteTech.pdf

ARNO* @arno ART LIBRE
ARNO* @arno ART LIBRE 5/02/2018

Pour R21, je vois que le httponly est passé par spip_setcookie() pour le cookie spip_session.

ARNO* @arno ART LIBRE
severo @severo PUBLIC DOMAIN 5/02/2018

merci !

severo @severo PUBLIC DOMAIN
b_b @b_b PUBLIC DOMAIN 5/02/2018

@arno oui pour le cookie :
▻https://core.spip.net/projects/spip/repository/revisions/19183
▻https://core.spip.net/projects/spip/repository/revisions/20501
Reste une amélioration en attente ici : ▻https://core.spip.net/issues/3821

b_b @b_b PUBLIC DOMAIN

Écrire un commentaire

Evolution #3821 : [sécurité - cookie] possibilité de gérer l’attribut « secure » du cookie spip session via une constante - SPIP

/3821