BSI は、さまざまな CMS システムのセキュリティ分析を公開しています。Plone はかなりの成功を収めましたが、OOTB のセキュリティ機能にマイナスの点がありました。
つまり、デフォルトでは HTTPS がなく、認証 OOTB 用の安全な Cookie もありません。セキュア Cookie に変更するにはどうすればよいですか。
はい、できます:
Plone over HTTPS を使用する前提条件を考えると、次の追加設定を Cookie に使用できます: 'HttpOnly' と 'Secure'。影響を最小限に抑えてこれを行う最も簡単な方法は、Apache mod_headers モジュールを「編集」アクションで使用することです (Apache 2.2.4 から利用可能):
ヘッダー編集 Set-Cookie ^(.*)$ $1;Secure;HttpOnly
BSI を更新する必要があります。Plone は常に Cookie OOTB を保護する機能を提供してきました。Plones `__ac` cookie に `secure` と `httpOnly` を設定する方法を参照してください。方向のために。