因为ColdFusion具有可预测的CFID,所以我们一直在失败我们的PCI扫描。我们得到的确切FAIL是“可预测的Cookie会话ID”。现在CFTOKEN不再是可预测的了,因为我已经将CF配置为使用CFUKEN的UUID,但是,CFID仍然可以预测并且不受CF管理员中的任何更改的影响。如何保护CFID符合PCI标准?
我不知道为什么CFID可以预测是一种威胁,但他们希望我们解决它。
我一直无法通过googeling找到关于此事的任何事情,我真的不知道还有什么可以做的。
有没有其他人处理过这样的事情?有什么建议么?
编辑:这里是我的Application.cfc文件看起来像:
<cfcomponent output="false">
<cfset this.name="DatabaseOnline">
<cfset this.sessionManagement=true>
<cfset this.setDomainCookies=true>
<cfset this.setClientCookies=true>
<cfset this.sessionTimeOut=#CreateTimeSpan(0,20,0,0)#>
</cfcomponent>
我的CF管理看起来是这样的:http://i.imgur.com/k9OZH.png
那么,如何禁用CFID?
这正是我所做的,它确实为CFTOKEN处理了它,但他们也希望CFID被随机化,这是我没有得到的。我没有听说有其他人需要随机化CFID,我甚至不知道这是否可能,因为CF需要跟踪用户。 – Amir 2012-03-30 13:10:39
您应该不再需要获取CFID Cookie,因为启用该设置会将它们替换为jsession Cookie。尝试清除您的Cookie并重新开始。 – baynezy 2012-03-30 13:33:58
即使启用了J2EE会话变量,除非将其关闭,否则您仍将获得CFID和CFTOKEN Cookie。看到这个答案:http://stackoverflow.com/a/268986/21960 – ale 2012-03-30 13:46:27