Schakel HttpOnly-cookie parameter in. Ik kan begrijpen dat alleen de titel van deze blog uit de serie Moodle Security al vraagtekens oproept. Voor systeembeheerders is dit wel dagelijkse kost. De HttpOnly-cookieparameter voorkomt bij de meeste moderne browsers dat de waarde van een cookie kan worden uitgelezen via de document.cookie DOM-property. Het inschakelen van deze parameter maakt het moeilijker voor een aanvaller om data van cookies te achterhalen wanneer de aanvaller door middel van een cross-site-scripting-kwetsbaarheid JavaScript in de browser van een slachtoffer kan uitvoeren.
Wat is het risico? Wanneer een cross-site-scripting-kwetsbaarheid aanwezig is, kan een aanvaller mogelijk onnodig data uit cookies achterhalen. En dat willen we niet en de oplossing is vrij simpel; Schakel de HttpOnly-cookie parameter in.
De instelling cookiehttponly kan je vinden via:
Sitebeheer | Veiligheid | HTTP Security
https://moodlesite/admin/settings.php?section=httpsecurity
Arnout is meer dan alleen de directeur van Avetica; hij is een echte Moodlelaar. Zijn passie voor digitaal leren en zijn drive om organisaties te helpen groeien, zijn de drijfveren achter zijn werk. Arnout is een autoriteit op het gebied van Moodle en staat bekend om zijn pragmatische aanpak en zijn vermogen om complexe zaken op een begrijpelijke manier uit te leggen.
Hij heeft alle Nederlandstalige MoodleMoots bezocht die sinds 2005 werden georganiseerd waar hij ook vaak zijn kennis deelde. Door zijn familie wordt hij vaak ‘Mister Moodle’ genoemd.
Je moet ingelogd zijn om een reactie te plaatsen.