Bevor gefragt wird, wieso denn alle unzutreffend seien
bearbeitet von Mitleser> > 2. dass es Sache der Serverkonfiguration ist, für eine gesicherte Übertragung zu sorgen,
> > 3. dass es ebenfalls Sache der Serverkonfiguration ist, dafür zu sorgen, dass dem Sessioncookie die Information mitgegeben wird, dass der Browser es JavaScript nicht zur Verfügung stellen möge.
>
> Das ist für mich ein klarer Fall von das eine zu tun ohne das andere zu lassen. Man kann diese Probleme sowohl auf Ebene der Server-Konfiguration als auch auf Ebene der Anwendung angehen. Macht man beides, verkleinert man die Angriffsoberfläche. Auf der Testseite wird keine der beiden Möglichkeiten genutzt.
Wirklich? Er gibt diese URL an:
* <https://home.fastix.org/Tests/ftx_login/login.php>
versuche doch auch
* <http://home.fastix.org/Tests/ftx_login/login.php>
Das Ergebnis spricht dafür, dass er eine der beiden Möglichkeiten nutzt.Man muss sich jedenfalls ziemlich anstrengen um die Benutzerdaten unverschlüsselt zu übertragen. Auch die Session-Id wird vom Server an den Client nur via https gesendet.
Was jetzt die Nutzung von http_only für das Sessioncookie betrifft: da steht '/Tests' und der Benutzername sowie das Passwort auf der Seite mit dem Login... Würdest Du Dir dann die Mühe machen und für erweiterte Sicherheit zu sorgen?
[An anderer Stelle tut er es schließlich](https://observatory.mozilla.org/analyze/code.fastix.org) - [dem Vergleich nach nicht mal schlecht](https://observatory.mozilla.org/analyze/www.deutsche-bank.de).