Avetica, Moodle Premium Partner

Moodle Security (9): Schakel HttpOnly-cookie parameter in

  • Moodle tips
  • >
  • Moodle Security (9): Schakel HttpOnly-cookie parameter in

Schakel HttpOnly-cookie parameter in. Ik kan begrijpen dat alleen de titel van deze blog uit de serie Moodle Security al vraagtekens oproept. Voor systeembeheerders is dit wel dagelijkse kost. De HttpOnly-cookieparameter voorkomt bij de meeste moderne browsers dat de waarde van een cookie kan worden uitgelezen via de document.cookie DOM-property. Het inschakelen van deze parameter maakt het moeilijker voor een aanvaller om data van cookies te achterhalen wanneer de aanvaller door middel van een cross-site-scripting-kwetsbaarheid JavaScript in de browser van een slachtoffer kan uitvoeren.

HttpOnly

Wat is het risico? Wanneer een cross-site-scripting-kwetsbaarheid aanwezig is, kan een aanvaller mogelijk onnodig data uit cookies achterhalen. En dat willen we niet en de oplossing is vrij simpel; Schakel de HttpOnly-cookie parameter in.

De instelling cookiehttponly kan je vinden via:

Sitebeheer | Veiligheid | HTTP Security

https://moodlesite/admin/settings.php?section=httpsecurity

Hand-click.svg

Moodlemoot 2024

Heb jij je al ingeschreven voor hét Moodle event van het jaar?