J’ai effectué un test de pénétration sur mon instance. Le rapport indique un risque lié à un cookie non sécurisé, qui pourrait être détourné via une attaque XSS. Je souhaiterais remédier à ce risque en ajoutant une ligne de code dans la configuration de Nginx. Cependant, je ne parviens pas à la trouver car j’utilise l’installation Docker.
Y a-t-il quelqu’un parmi vous qui pourrait m’indiquer où se trouve la configuration de Nginx ? Dans /etc/nginx/site-available, aucun fichier de configuration Discourse n’est utilisé par Nginx.
Pouvez-vous partager le résultat complet du test d’intrusion ?
Je pense que vous l’exécutez incorrectement ou que vous interprétez mal le rapport, car les deux cookies de Discourse ont bien l’indicateur de sécurité activé :
Il s’agit simplement du cookie destination_url, utilisé uniquement pendant le flux de connexion pour enregistrer l’endroit où l’utilisateur souhaitait se rendre, afin que nous puissions l’y rediriger après la connexion. Et comme il est lu par l’application EmberJS pour le routage, il ne peut pas contenir le drapeau HTTP_ONLY.
