Impostazione della bandiera protetta sui cookie da Outlook Web Access

Sto eseguendo Exchange 2007 SP3 che sta esponendo l'accesso web di Outlook solo su HTTPS. Tuttavia il server offre il cookie di sessionid senza il set di flag secure . Anche se non ho la port 80 aperta, questo cookie è ancora vulnerabile a essere rubato sulla port 80 in caso di attacco uomo-in-mezzo. Contribuisce anche ad un errore PCI-DSS

Qualcuno sa se posso persuadere il server web / applicazione per impostare la bandiera protetta?

  • Firewall per VMware ESXi o vSphere
  • Prevenzione dell'hacking, forensics, audit e contromisure
  • Configurazione del server sulle considerazioni di sicurezza di Github?
  • Protezione di un server Web pubblico di Windows Server 2008 R2
  • Come verificare che un server OpenVPN ascolti in una port remota senza utilizzare il client OpenVPN?
  • Suggerimenti per la scansione delle vulnerabilità delle applicazioni Web?
  • Qualcuno ha saputo l'aggiornamento in Bastille per unix / linux?
  • Linux: configurato per il sysadmin remoto
  • One Solution collect form web for “Impostazione della bandiera protetta sui cookie da Outlook Web Access”

    Infatti puoi. La tua domanda mi ha fatto curioso e ho provato e funzionato.

    Nel web.config dell'app OWA (che per impostazione predefinita vive in \ Programmi \ Microsoft \ Exchange Server \ ClientAccess \ Owa sull'unità in cui è stato installato Exchange), impostare quanto segue nella sezione <system.web> :

     <httpCookies httpOnlyCookies="true" requireSSL="true"/> 
    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.