Realicé una prueba de penetración en mi instancia. El informe indica que existe un riesgo debido a una cookie insegura que podría ser secuestrada mediante un ataque XSS. Me gustaría mitigar este riesgo añadiendo una línea de código a la configuración de nginx, pero no logro encontrarla ya que estoy utilizando la instalación con Docker.
¿Alguien puede darme una pista sobre dónde encontrar la configuración de nginx? En /etc/nginx/sites-available no hay ninguna configuración de Discourse utilizada por nginx.
¿Puedes compartir el resultado completo de la prueba de penetración?
Creo que o bien la estás ejecutando incorrectamente o estás malinterpretando el informe, ya que ambas cookies de Discourse tienen la bandera de seguridad:
Eso es solo la cookie destination_url, utilizada únicamente durante el flujo de inicio de sesión para almacenar el destino al que el usuario quería ir, para que podamos enviarlo allí después de iniciar sesión. Y como se lee en la aplicación EmberJS para el enrutamiento, no puede contener la bandera HTTP_ONLY.
