No se pueden desactivar las cookies de seguimiento persistente en CFMX 8

Question

CFMX 8 Enterprise

He activado el " Usar variables de sesión J2EE " establecer en Variables de memoria porque los requisitos de seguridad establecen que no se pueden usar cookies persistentes.

Comprendí que activar esta configuración le indicará a CF que solo cree y use un " JSESSIONID " cookie de sesión.

Sin embargo, mi servidor todavía parece estar creando y utilizando el antiguo CFID " y "CFTOKEN" cookies con fechas de vencimiento dentro de treinta años.

Ahora, obviamente, puedo hacer el viejo truco de manipular CFID y CFTOKEN con CFCOOKIE en mi Application.cfc para eliminar la fecha de vencimiento, pero eso es algo que necesitaría agregar a todas mis aplicaciones.

¿Es tan simple como reiniciar el servicio ColdFusion? ¿Un insecto? ¿O solo estoy malinterpretando la configuración?

Answer 1

De la base de datos KB en línea:

  

ColdFusion MX (CFMX) presenta la gestión de sesión de servlet J2EE además de la gestión de sesión tradicional de ColdFusion. La gestión de sesión J2EE permite compartir información de sesión entre páginas ColdFusion y páginas JSP o servlets dentro de una sola aplicación. Con la gestión de sesión J2EE, ColdFusion utiliza una nueva variable, el JSESSIONID, para rastrear la sesión del navegador de un usuario en lugar de CFID / CFTOKEN. ColdFusion MX todavía crea los valores CFID y CFTOKEN, sin embargo, estos valores ya no se utilizan para identificar de forma exclusiva las sesiones del navegador. La gestión de sesión J2EE no requiere un nombre de aplicación, por lo que el valor SESSION.SESSIONID se convierte en el JSESSIONID. Debido a que JSESSIONID siempre se escribe como un valor por sesión, se destruye cuando se cierra el navegador y se crea uno nuevo con cada nueva sesión de navegador.

De modo que se generan CFID y CFTOKEN, pero se ignoran.