oxo888oxo: Cookie Prefixes setzen per php.ini machbar?

Hallo

Der Test von securityheaders.com liefert mir für meine Website ein A+ Ergebnis

Das finde ich natürlich schon mal prima. Eine kleine Sache "bemängelt" der Test für meine Seite allerdings noch. Zu sehen ganz unten im Testergebnis:

Set-Cookie / There is no Cookie Prefix on this cookie.

Aus der dort dann verlinkten Seite werde ich aber leider nicht richtig schlau, was das Thema Cookie Prefix angeht. Dafür ist mein Englisch und auch mein Sachverstand nicht ausreichend.

Ist es denn möglich, diesen Cookie Prefix auch per php.ini zu setzen?

Gruß Ingo

  1. Hallo oxo888oxo,

    Aus der dort dann verlinkten Seite werde ich aber leider nicht richtig schlau, was das Thema Cookie Prefix angeht. Dafür ist mein Englisch und auch mein Sachverstand nicht ausreichend.

    Es läuft darauf hinaus, dass man seine Cookie-Namen mit __Secure- oder __Host- prefixed. __Secure- sorgt dafür, dass der Browser den Cookie nur annimmt, wenn der Cookie mit dem Secure-Flag gesetzt wird und über ein vom Browser als sicher eingeschätztes Scheme kommt. Sprich, wenn du versuchst den Cookie Set-Cookie: __Secure-foo=bar; path=/ zu setzen, dann würde er abgelehnt werden, weil der Secure-Flag fehlt. Set-Cookie: __Secure-foo=bar; path=/; Secure würde angenommen, sofern die Seite über HTTPS ausgeliefert wird.

    Das __Host--Prefix ist sogar noch restriktiver. Es verlangt die oben erwähnten Bedingungen und setzt noch zwei Restriktionen oben drauf: der Cookie darf das domain-Flag nicht enthalten, er wird also nur für example.com und nicht für foo.example.com geschickt. Und er muss ein path-Attribut mit dem Wert / enthalten. Set-Cookie: __Host-foo=bar; path=/; Secure; domain=example.org würde also nicht angenommen, Set-Cookie: __Secure-foo=bar; path=/; Secure dagegen schon (sofern die Seite über HTTPS ausgeliefert wird).

    Ist es denn möglich, diesen Cookie Prefix auch per php.ini zu setzen?

    Nein, das ist nicht möglich.

    Freundliche Grüße,
    Christian Kruse