Le point noir indiqué par Mozuilla (-30 points) est "Session cookie set without using the HttpOnly flag"
Pourtant, dans SMF, j'ai bien coché "Forcer la sécurisation des témoins : Activer cette option forcera la sécurisation des témoins (cookies) créés pour les utilisateurs de votre forum. Ne l'activez que si vous utilisez le protocole HTTPS sur tout votre site, faute de quoi la gestion des témoins sera fortement perturbée !"
Attention, ça n'a rien à voir :
- secure signifie que le cookie n'est pas envoyé en HTTP (communication en clair)
- HttpOnly signifie que le cookie n'est pas accessible en JS
Cela correspond à des problématiques de sécurité complètement différentes :
- HTTP en clair : risque d'interception des données par une écoute passive sur la ligne
- JS : en cas d'inclusion d'un script hostile dans la page (dans le code HTML de la page ou bien dans une ressource tierce JS incluse dans le page), les cookies HTTP ne sont pas lisibles par le code JS
Ces deux problématiques n'ont rien à voir :
- l'écoute est un risque intrinsèque d'un réseau ouvert; "secure" est la première ligne de défense d'un cookie, comme le schéma d'URL "https:" vs "http:"
- l'insertion d'un script arbitraire ne doit en aucun cas être permise par le logiciel qui génère le HTML; mais si jamais une faille existe, on tente de la
défense en profondeur; "HttpOnly" est la dernière ligne de défense.