Chiffrement de l'ID de session pour la résolution de problèmes de vulnérabilité

casm173
CA Service Desk Manager (SDM) utilise l'ID de session pour authentifier chaque demande de l'utilisateur. Cet ID de session est échangé via le navigateur Web. Une personne malveillante peut générer automatiquement un ID de session et accéder à SDM, si cet ID correspond à l'un des ID de session actifs dans SDM. Une personne malveillante peut détecter l'URL Web de SDM à l'aide d'une attaque de l'intercepteur (man-in-the-middle) et lire l'URL pour accéder à SDM. L'utilisation de l'ID de session et d'un cookie chiffrés pour l'authentification des demandes d'utilisateur peut avoir un impact minimal sur les performances de SDM.
Les attributs suivants sont ajoutés au gestionnaire d'options pour prendre en charge les ID de session chiffrés :
  • use_encrypted_sid_and_cookie (facultatif)
    Utilisez l'ID de session et le cookie chiffrés pour empêcher les attaques d'usurpation d'identité et d'intercepteur (man-in-the-middle). Par défaut, cet attribut est désactivé. Si vous souhaitez disposer de la sécurité CA SDM renforcée, cet attribut doit être activé (défini sur Oui).
  • force_browser_to_send_cookie_only_in_ssl_connection
    (facultatif)
    Permet de forcer le navigateur à envoyer le cookie de l'ID de session (SID) uniquement lorsqu'une connexion SSL est établie. Cet attribut est applicable uniquement si vous avez activé
    use_encrypted_sid_and_cookie
    (défini sur Oui). Par défaut, il est désactivé. Si cet indicateur est activé, CA SDM sera accessible uniquement via une connexion SSL.
    Pour plus d'informations, reportez-vous à la section Gestionnaire d'options, Options de sécurité.