Moodle Security (9): Schakel HttpOnly-cookie parameter in

  • Moodle blog
  • >
  • Moodle Security (9): Schakel HttpOnly-cookie parameter in

Schakel HttpOnly-cookie parameter in. Ik kan begrijpen dat alleen de titel van deze blog uit de serie Moodle Security al vraagtekens oproept. Voor systeembeheerders is dit wel dagelijkse kost. De HttpOnly-cookieparameter voorkomt bij de meeste moderne browsers dat de waarde van een cookie kan worden uitgelezen via de document.cookie DOM-property. Het inschakelen van deze parameter maakt het moeilijker voor een aanvaller om data van cookies te achterhalen wanneer de aanvaller door middel van een cross-site-scripting-kwetsbaarheid JavaScript in de browser van een slachtoffer kan uitvoeren.

HttpOnly

Wat is het risico? Wanneer een cross-site-scripting-kwetsbaarheid aanwezig is, kan een aanvaller mogelijk onnodig data uit cookies achterhalen. En dat willen we niet en de oplossing is vrij simpel; Schakel de HttpOnly-cookie parameter in.

De instelling cookiehttponly kan je vinden via:

Sitebeheer | Veiligheid | HTTP Security

https://moodlesite/admin/settings.php?section=httpsecurity

Blijf op de hoogte

Vul je e-mailadres in en lees als eerste onze blogs over Moodle.

Voeg je bij 490 andere abonnees
Hand click
Nieuws en tips over Moodle

Ontvang van elke blog die wij schrijven een notificatie op je e-mailadres, zodat je goed op de hoogte blijft over Moodle.
Afmelden is altijd mogelijk.

Voeg je bij 490 andere abonnees