HttpOnly deaktivieren

[Joe Sixpack]

Hallo

wir haben hier einen Shop (1.7.6) mit einem Bezahlmodul von Postfinance  (PF Schweiz). Hierzu hat PF eine neue Plattform und ein neues Bezahlmodul für PS bereitgestellt. (Kredikarten usw) namens "Postfinance Checkout"

So weit so gut. Die Bestellungen kommen rein, alledings bleibt der Bestellstatus hängen bei "Checkout waiting". Die Bestellung wird also nicht abgeschlossen, obwohl die Bezahlung validiert ist.

Gemäss PF müsste man HttpOnly deaktiveren, weil ihr server meldet:

Quote

HTTP/1.1 500 Internal Server Error
Server: nginx
Connection: keep-alive
Set-Cookie: PrestaShop-xxx; expires=Tue, 09-Jan-2024 14:01:55 GMT; Max-Age=1727999; path=/; domain=www.example.com; secure; HttpOnly
Content-Length: 0
Date: Wed, 20 Dec 2023 14:01:56 GMT
Content-Type: text/html; charset=utf-8

und schreibt dazu:

Quote

 

Grundsätzlich ist es so das für unsere Kommunikation über die Webooks die Einstellung 

path=/; domain=www.example.com; secure; HttpOnly

nicht erlaubt ist.

Dürfte ich Sie bitten die Einstellung "HttpOnly" zu deaktivieren. 

 

 

Ich bin da jetzt nicht der Vollprofi, aber mich deucht das Sicherheitstechnisch sehr gewagt, das HttpOnly zu deaktivieren?

was meint ihr dazu?

 

[SliderFlash]

Ich glaube hier geht es um Cookies, schon bei PostFinance nachgefragt? das würde ich als erstes tuen

ansonsten hilft vielleicht auch ein Modul

https://addons.prestashop.com/en/website-security-access/44413-security-pro-all-in-one.html

 

Edited January 12 by SliderFlash (see edit history)

[Joe Sixpack]

Besten Dank

ja, ich glaube es sind Cookies.

Mit PF bin ich seit Wochen am diskutieren, ihr einziger Vorschlag ist, das HttpOnly zu deaktiveren....

und ich frage mich, wie mache ich das genau, und ist es auch sicher?

[Joe Sixpack]

Leider hat das nun mit dem Module auch nicht funktioniert. Im PF Panel erhalte ich eine 500er Meldung nach der Bestellung.

HTTP/1.1 500 Internal Server Error
Server: nginx
X-Content-Type-Options: nosniff
Permissions-Policy: sync-xhr=(self "https://www.example.com/")
Connection: keep-alive
X-Permitted-Cross-Domain-Policies: master-only
Date: Fri, 12 Jan 2024 17:29:57 GMT
Referrer-Policy: no-referrer-when-downgrade
X-Frame-Options: SAMEORIGIN
Strict-Transport-Security: max-age=15768000; includeSubDomains
Strict-Transport-Security: max-age=63072000
Content-Security-Policy: frame-ancestors 'self'
Set-Cookie: PrestaShop-526281b06f9aa66481fa27bc233d610a=def50200667adff0b663c7984f198d784ca7e1a27856b052efb9f5aa2146f8a76504e35551adb16833e78a8df3a87b18d14fc86cdaaf661d9f1c43c0183d1bd03638e8232e885d032049e6da12ef459b4190eb089b50fb0e5c5bc79f0538df360ec7026bb3b5a05e38e21475639c879072709b4b97868e4ed7c2d12b1395f60d6be0aa623c1354f23bd90280c1e6f0d609a17c52297e7e35b231e7a8ae5b24; expires=Thu, 01-Feb-2024 17:29:56 GMT; Max-Age=1727999; path=/; domain=www.example.com; secure; HttpOnly; SameSite=None; Secure
X-XSS-Protection: 1; mode=block
Content-Length: 0
Expect-CT: max-age=7776000
Content-Type: text/html; charset=utf-8

 

 

[SliderFlash]

Da würde ich am besten bei deinem Hoster nachfragen, wie man die http Cookies deaktiviert.

Das hat direkt mit PrestaShop nichts zu tun ist serverseitige Einstellung, Google mal nach " HttpOnly deaktivieren"

 

IONIS anleitung

Edited January 13 by SliderFlash (see edit history)