Parameter:
HTTP_SESSION_COOKIES_SECUREKurzbeschreibung: Ergänzt das
Secure-Flag auf HTTP-Session- und LTPA-Cookies, sodass diese ausschließlich über HTTPS-Verbindungen übertragen werden.Steckbrief
Parameter | HTTP_SESSION_COOKIES_SECURE |
Kategorie | Security / TLS |
Komponente | Server |
Verfügbar seit | 10.0 |
Unterstützte Versionen | 10.0, 11.0, 12.0, 14.0, 14.5, 14.5.1 |
GUI-Entsprechung | Nur notes.ini (keine GUI) |
Mögliche Werte | 0 = aus (Standard), 1 = Secure-Flag zwingend setzen (empfohlen) |
Beschreibung
Ohne das
Secure-Cookie-Attribut können Browser HTTP-Session-Cookies und LTPA-Tokens auch über unverschlüsselte HTTP-Verbindungen mitsenden – ein klassischer Angriffsvektor für Session-Hijacking in unsicheren Netzen. HTTP_SESSION_COOKIES_SECURE=1 zwingt Domino, das Secure-Flag bei der Cookie-Erzeugung zu setzen. Dadurch werden die Cookies vom Browser nur noch über HTTPS übertragen.Beispiel-Konfiguration
HTTP_SESSION_COOKIES_SECURE=1
Hinweise & Stolperfallen
- Dringend empfohlen für alle öffentlich erreichbaren Domino-Server.
- Voraussetzung: Der Server bzw. der vorgelagerte Reverse-Proxy ist tatsächlich über HTTPS erreichbar – sonst werden Cookies vom Browser verworfen und Logins schlagen fehl.
- Wirkt nach HTTP-Restart (
tell http restart).
- Ergänzend sollte
HTTPHSTSIncludeSubDomainsbzw. das HSTS-Feld im Server-Dokument aktiviert werden.