Bonjour à tous,
En fait, dareboost regarde si le cookie posséde un flag nommé 'Secure'. Ce flag est interprété par les navigateur et exploité que lorsque la requête qui l'utilise est en HTTPS. Ca permet de contrer les tentatives de man-in-the-middle.
Plus d'infos dans la bible Wikipédia :
https://en.wikipedia.org/wiki/HTTP_c...e_and_HttpOnly
Ici, ca n'a pas d'impact, bien que Dareboost le remonte. En réalité, le cookie est déclaré et utilisé par nos load balancers pour savoir sur quel serveur web rediriger la requête.
Ce cookie a une importance crucial pour l'authentification des sessions des utilisateurs des sites webs. En gros, des sessions PHP. Car dans ce cas, le flag secure impose que la connexion de l'utilisateur se fasse par une connexion HTTPS, c'est à dire impossible à réaliser (sauf si vous avez la main sur une autorité de certification SSL, bref, si vous n'êtes pas un gouvernement). Si le flag Secure du cookie n'est pas utilisé et que le serveur autorise HTTP, alors le man in the middle est possible.
PS : au pire, si un attaquant change ce cookie, ca changera juste le serveur web utilisé, ce qui ne provoquera pas de soucis sur votre site.
PS2: On a envisagé de mettre ce flag, mais cela imposserait que l'ensemble des sites hébergés chez OVH soient totalement compatible en HTTPS et nous n'avons bien entendu pas la main là dessus
Bien cordialement,
Vincent