Ami*_*mir 4 cookies coldfusion application.cfc pci-compliance
我们的PCI扫描失败了,因为ColdFusion具有可预测的CFID.我们得到的确切失败是"可预测的Cookie会话ID".现在CFTOKEN不再可预测,因为我已经配置CF以使用UUID用于CFTOKEN,但是,CFID仍然是可预测的,并且不受CF Admin中任何更改的影响.
我真的不知道为什么CFID可预测是一种威胁,但他们希望我们修复它.
我一直无法通过googeling找到任何关于此事的任何事情,我真的不确定还能做什么.
有没有其他人处理过这样的事情?有什么建议?
编辑:这是我的Application.cfc文件的样子:
<cfcomponent output="false">
<cfset this.name="DatabaseOnline">
<cfset this.sessionManagement=true>
<cfset this.setDomainCookies=true>
<cfset this.setClientCookies=true>
<cfset this.sessionTimeOut=#CreateTimeSpan(0,20,0,0)#>
</cfcomponent>
我的CF管理员看起来像这样:http://i.imgur.com/k9OZH.png
那么如何禁用CFID?
使用J2EE会话变量应解决该问题.
为此,请转到CF管理员.服务器设置 - >内存变量并选中"使用J2EE会话变量"复选框.
您可以在此处找到更多信息http://helpx.adobe.com/coldfusion/kb/predictable-cookie-session-ids-reported.html
