如何保护 CFID 以实现 PCI 合规性? [英] How do I secure CFID for PCI compliance?

问题描述

我们一直未能通过 PCI 扫描，因为 ColdFusion 具有可预测的 CFID.我们得到的确切 FAIL 是Predictable Cookie Session IDs".现在 CFTOKEN 不再可预测，因为我已将 CF 配置为对 CFTOKEN 使用 UUID，但是，CFID 仍然是可预测的，并且不受 CF Admin 中的任何更改的影响.

We've been failing our PCI scans because ColdFusion has predictable CFIDs. The exact FAIL we get is "Predictable Cookie Session IDs". Now the CFTOKEN is no longer predictable since I've configured CF to use UUID for CFTOKEN, however, the CFID is still predictable and unaffected by any changes in CF Admin.

我真的不知道为什么可预测的 CFID 是一种威胁，但他们希望我们修复它.

I don't really know why the CFID being predictable is a threat, but they want us to fix it.

我无法通过谷歌搜索找到任何关于此事的信息，我真的不知道还能做什么.

I have been unable to find anything on the matter by googeling, and I'm really not sure what else to do.

有没有其他人处理过这样的事情?有什么建议?

Has anyone else dealt with something like this? Any suggestions?

这是我的 Application.cfc 文件的样子:

Here is what my Application.cfc file looks like:

<cfcomponent output="false">

    <cfset this.name="DatabaseOnline">
    <cfset this.sessionManagement=true>
    <cfset this.setDomainCookies=true>
    <cfset this.setClientCookies=true>
    <cfset this.sessionTimeOut=#CreateTimeSpan(0,20,0,0)#>

</cfcomponent> 

我的 CF 管理员看起来像这样:http://i.imgur.com/k9OZH.png

And my CF admin looks like this: http://i.imgur.com/k9OZH.png

那么如何禁用 CFID?

So how do I disable CFID?

推荐答案

使用 J2EE 会话变量应该可以解决这个问题.

Using J2EE session variables should address that problem.

为此，请转到 CF 管理员.服务器设置 --> 内存变量并选中使用 J2EE 会话变量"复选框.

To do that go to CF Administrator. Server Settings --> Memory Variables and check the 'Use J2EE session variables' check box.

您可以在此处找到更多信息 http://helpx.adobe.com/coldfusion/kb/predictable-cookie-session-ids-reported.html

You can find some more information here http://helpx.adobe.com/coldfusion/kb/predictable-cookie-session-ids-reported.html

这篇关于如何保护 CFID 以实现 PCI 合规性?的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！