[Owasp-france] Error parsing actions: Unknown action: inicol

sebastien gioria seb at gioria.org
Tue Dec 22 12:30:57 UTC 2015


3 choses : 

1/ on ne met pas de données sensibles dans un cookie…
2/ Un cookie se doit d’etre taggé avec les flags : secure, httpOnly, un domaine, un path. 
3/ Toutes les autres informations doivent être stockées dans la session sur le serveur(mdp, ip, ….)


Le cookie de session est un cookie sensible, le fait de le déclarer HttpOnly + secure fait qu’il ne passera que sur du HTTPS + ne sera pas manipulable en JavaScript. 


— 
Sébastien Gioria	+33(0)6 70 59 11 44
https://www.linkedin.com/in/gioria <http://www.linkedin.com/in/gioria> – https://twitter.com/Spoint
Expert judiciaire informatique près la Cour d’Appel de Poitiers 
OWASP French Leader









On 22/12/15 12:26, "owasp-france-bounces at lists.owasp.org on behalf of primael at l-infini.fr" <owasp-france-bounces at lists.owasp.org on behalf of primael at l-infini.fr> wrote:

>Bonjour,
>
>Je ne sais pas si le fait de mettre vos cookies en HttpOnly répond à 
>votre besoin.
>Un lien pour voir de quoi il en retourne:
>https://www.owasp.org/index.php/HttpOnly
>
>Bonne fête de fin d'année.
>
>Primael
>
>
>
>Le 2015-12-22 12:02, Thierry a écrit :
>> Re: [Owasp-france] Error parsing actions: Unknown action: inicol Les
>> cookies comportent certaines données personnelles (auth, mdp, ip etc
>> ...) et peuvent permettre à des personnes mal intentionnées de se
>> connecter à la place de la personne légitime sur des sites marchands
>> (par exemple) ...
>>
>>  J'ai bien répondu ? J'ai quoi comme cadeau ?
>>
>>  Bonjour sebastien,
>>
>>  Le mardi 22 décembre 2015 à 12:49:48, vous écriviez :
>>
>>  Ça veut dire quoi protéger un cookie?
>>
>>  --
>>  Sébastien Gioria +33(0)6 70 59 11 44
>>  https://www.linkedin.com/in/gioria [1] - https://twitter.com/Spoint 
>> [2]
>>  Expert judiciaire informatique près la Cour d'Appel de Poitiers
>>  OWASP French Leader
>>
>>  On Tue, Dec 22, 2015 at 2:46 AM -0800, "Thierry"
>> <lenaigst at maelenn.org> wrote:
>>
>>  Ha effectivement, merci pour l'info :)
>>  Sinon, je suis aussi à la recherche de comment protéger un cookie 
>> avec
>>  modsecurity .... Si vous avez de la doc, je suis partant.
>>
>>  Merci et joyeux noel.
>>
>>  Bonjour sebastien,
>>
>>  Le mardi 22 décembre 2015 à 11:32:59, vous écriviez :
>>
>>  > En fait, l'action inicol n'existe pas dans mod_security…..
>>
>>  > Il faut remplacer cela par un "initcol" :)) =>
>>  >
>> 
>> https://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual#initcol
>> [3]
>>
>>  > --
>>  > Sébastien Gioria +33(0)6 70 59 11 44
>>  > https://www.linkedin.com/in/gioria [1]
>>  > <http://www.linkedin.com/in/gioria [4]> - 
>> https://twitter.com/Spoint [2]
>>  > Expert judiciaire informatique près la Cour d'Appel de Poitiers
>>  > OWASP French Leader
>>
>>  > On 21/12/15 10:35, "Thierry" <lenaigst at maelenn.org> wrote:
>>
>>  >>je suis en 2.2.7-2 :)
>>  >>
>>  >>> Un probleme avec la version de mod_security ? As-tu upgradé
>>  >>> Mod-security en derniere version ?
>>  >>
>>  >>> --
>>  >>> Sébastien Gioria +33(0)6 70 59 11 44
>>  >>> https://www.linkedin.com/in/gioria [1]
>>  >>> <http://www.linkedin.com/in/gioria [4]> - 
>> https://twitter.com/Spoint [2]
>>  >>> Expert judiciaire informatique près la Cour d'Appel de Poitiers
>>  >>> OWASP French Leader
>>  >>
>>  >>
>>  >>
>>  >>
>>  >>
>>  >>
>>  >>
>>  >>
>>  >>
>>  >>
>>  >>> On 21/12/15 09:12, "owasp-france-bounces at lists.owasp.org on 
>> behalf
>>  >>> of Thierry" <owasp-france-bounces at lists.owasp.org on behalf of
>> lenaigst at maelenn.org> wrote:
>>  >>
>>  >>>> Error parsing actions: Unknown action: inicol
>>  >>
>>  >>
>>
>>  --
>>  Cordialement,
>>  Thierry e-mail : lenaigst at maelenn.org
>>
>>  --
>>  Cordialement,
>>  Thierry e-mail : lenaigst at maelenn.org
>>
>> Links:
>> ------
>> [1] https://www.linkedin.com/in/gioria
>> [2] https://twitter.com/Spoint
>> [3] 
>> https://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual#initcol
>> [4] http://www.linkedin.com/in/gioria
>>
>> _______________________________________________
>> Owasp-france mailing list
>> Owasp-france at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-france
>
>_______________________________________________
>Owasp-france mailing list
>Owasp-france at lists.owasp.org
>https://lists.owasp.org/mailman/listinfo/owasp-france


More information about the Owasp-france mailing list