Secure Cookies.
authorSven Schöling <s.schoeling@linet-services.de>
Wed, 29 Jul 2009 12:56:49 +0000 (14:56 +0200)
committerSven Schöling <s.schoeling@linet-services.de>
Wed, 29 Jul 2009 12:56:49 +0000 (14:56 +0200)
Sobald der Loginrequest mit HTTPS gesendet wird, wird das Cookie nun auf
Secure gesetzt, und sollte nur noch bei sicheren Verbindungen
mitgesendet werden.

SL/Form.pm

index 74de738..4febdc7 100644 (file)
@@ -607,9 +607,10 @@ sub create_http_response {
     my $session_cookie_value   = $main::auth->get_session_id();
     $session_cookie_value    ||= 'NO_SESSION';
 
-    $session_cookie = $cgi->cookie('-name'  => $main::auth->get_session_cookie_name(),
-                                   '-value' => $session_cookie_value,
-                                   '-path'  => $base_path);
+    $session_cookie = $cgi->cookie('-name'   => $main::auth->get_session_cookie_name(),
+                                   '-value'  => $session_cookie_value,
+                                   '-path'   => $base_path,
+                                   '-secure' => $ENV{HTTPS});
   }
 
   my %cgi_params = ('-type' => $params{content_type});