Impossibile disattivare i cookie di tracciamento persistenti in CFMX 8

Question

CFMX 8 Enterprise

Ho attivato " Usa variabili di sessione J2EE " impostazione in Variabili di memoria perché i requisiti di sicurezza indicano che i cookie persistenti non possono essere utilizzati.

Ho capito che l'attivazione di questa impostazione dirà a CF di creare e usare solo un "JSESSIONID" cookie di sessione.

Tuttavia, sembra che il mio server stia ancora creando e utilizzando il vecchio stile "CFID" e "CFTOKEN" cookie con data di scadenza trenta anni dopo.

Ora, ovviamente, posso fare il vecchio trucco di manipolare CFID e CFTOKEN con CFCOOKIE nel mio Application.cfc per rimuovere la data di scadenza, ma è qualcosa che dovrei aggiungere a tutte le mie applicazioni.

È semplice come un riavvio del servizio ColdFusion? Un insetto? O sto semplicemente fraintendendo l'impostazione?

Answer 1

Dal database KB online:

  

ColdFusion MX (CFMX) introduce la gestione delle sessioni servlet J2EE in aggiunta alla tradizionale gestione delle sessioni ColdFusion. La gestione della sessione J2EE consente la condivisione delle informazioni sulla sessione tra le pagine ColdFusion e le pagine o servlet JSP all'interno di una singola applicazione. Con la gestione della sessione J2EE, ColdFusion utilizza una nuova variabile, JSESSIONID, per tenere traccia della sessione del browser di un utente anziché CFID / CFTOKEN. ColdFusion MX crea comunque i valori CFID e CFTOKEN, ma questi valori non vengono più utilizzati per identificare in modo univoco le sessioni del browser. La gestione delle sessioni J2EE non richiede un nome applicazione, quindi il valore SESSION.SESSIONID diventa il JSESSIONID. Poiché JSESSIONID è sempre scritto come valore per sessione, viene distrutto alla chiusura del browser e ne viene creato uno nuovo con ogni nuova sessione del browser.

Quindi CFID e CFTOKEN vengono generati, ma ignorati.