こんにちは皆さん
私のインスタンスに対してペネトレーションテストを行いました。その結果、安全でないクッキーによりXSS攻撃でハイジャックされるリスクがあるとの報告がありました。このリスクを回避するため、nginxの設定ファイルに1行のコードを追加したいと考えていますが、Dockerインストールを使用しているため、どこに設定があるのか見つけることができません。
nginxの設定ファイルの場所をご存知の方がいらっしゃいましたら、ヒントをいただけませんか?/etc/nginx/site-availableには、Discourseで使用されているnginxの設定は見当たりませんでした。
ご教示いただけますと幸いです。
よろしくお願いいたします
//neph
ペネトレーションテストの完全な結果を共有していただけますか?
おそらくテストの実行方法に問題があるか、レポートの読み取りを誤っていると思われます。Discourse の両方のクッキーには「secure」フラグが設定されています。
それは destination_url クッキーに過ぎません。これはログインフロー中にのみ使用され、ユーザーが移動しようとしていた場所を保存するために使われます。これにより、ログイン後にユーザーをその場所に案内できます。また、このクッキーはルーティングのために EmberJS アプリで読み取られるため、HTTP_ONLY フラグを含めることはできません。
Discourse で使用されるすべてのクッキーについては、(Deprecated) List of cookies used by Discourse で詳しく学ぶことができます。
