OPUSVIER-4493: Unterstützung des secure Cookie-Flag

[saschaszott]

Dieses Flag darf nur aktiviert werden, wenn die OPUS-Instanz via HTTPS erreichbar ist. Ansonsten legt der Browser keinen Cookie an (und die Anmeldung funktioniert dann z.B. nicht mehr).

Dieser PR sollte nach dem Merge von PR #379 begutachtet werden (ich habe die Änderungen von PR #379 als Ausgangspunkt für diesen PR verwendet, um spätere Merge-Konflikte zu vermeiden).

Vermutlich müsste die OPUS4-Doku ergänzt werden.

[saschaszott]

Hallo @j3nsch , sind "secure" Cookies bereits in OPUS4.8 enthalten, so dass beim Betrieb von OPUS4 sichergestellt ist, dass der Browser keine Cookies über unverschlüsseltes HTTP an den Server sendet? Vielleicht könnte auch gleich noch SameSite=None (oder SameSite=Lax) als Cookie-Flag gesetzt werden.

[j3nsch]

@saschaszott GitHub hatte vor etwa fünf Tagen technische Schwierigkeiten mit PRs und Issues bzw. vermutlich wurde der PR automatisch geschlossen, weil ich den Base Branch gelöscht habe.

[j3nsch]

@sigwei, @alw-bsz Schaut mal bitte, ob Ihr im Betrieb secure-cookie verwendet. Ich kann den PR übernehmen, aber das ändert nichts an existierenden Instanzen. Ich bin mir auch nicht sicher wie gut das Installationsskript aktuell funktioniert. Es müsste mal wieder geprüft und überarbeitet werden. Empfehlungen für einen sicheren Betrieb von OPUS 4 sollten in die OPUS 4 Dokumentation eingehen oder auf GitHub für Application gepflegt werden.

[sigwei]

Wir haben jetzt mit dem Proxy-Server und Anubis secure-cookie mit HttpOnly=false und SameSite=None im Einsatz. Wie das vorher war, kann ich nicht mehr sagen. Es wird nicht in der apache.conf der Instanzen aktiviert.

[alw-bsz]

Wir verwenden:

"httpOnly": true,
"secure": true,