.werks/2391

   1 Title: Auth cookie is using "secure" flag when HTTPS request detected
   2 Level: 1
   3 Component: multisite
   4 Class: security
   5 Compatible: compat
   6 State: unknown
   7 Version: 1.2.7i3
   8 Date: 1435662820
   9
  10 In previous versions the authentication cookie, which identifies an
  11 authenticated user with the GUI, was never using the "secure" flag.
  12 This means the cookie was sent to the webserver when doing HTTP and
  13 HTTPS requests. In such a situation a user which authenticated using
  14 HTTPS could access the GUI using HTTP and was still authenticated
  15 becaus the browser sends the HTTPS related cookie via HTTP. This is
  16 some kind of security risk since the information which should only
  17 be transported using the encrypted HTTPS requests could be transported
  18 in clear text over the network using HTTP.
  19
  20 The GUI tries now to detect the HTTPS requests. In case a HTTPS
  21 request is detected, the cookies are set with the "secure" flag
  22 which makes the cookies only used via HTTPS.
  23
  24 The HTTPS detection currently checks wether or not the HTTP request
  25 header <tt>X-Forwarded-Proto</tt> is set to <tt>https</tt>.