En bepaalde onveiligheid heb je vanwege zekere keuzen die je maakt of die derde partijen voor je maken.
Zoals bijv. met de __cfduid cookie van Cloudflare.
Overview
Cookies served over HTTPS but not flagged as "secure" may be sent over an insecure connection by the browser. Often this may be a simple request for an asset such as a bitmap file but if it's on the same domain as the cookie is valid for then it will be sent in an insecure fashion. This poses a risk of interception via a man in the middle attack.
Result
It looks like a cookie is being served over HTTPS without the "secure" flag being set (name : value):
__cfduid : d35d12748d6//////////b716e3c478281472209606
Unless the cookie needs to be sent over an insecure connection, the "secure" flag should always be set to ensure it can only be sent with an HTTPS request.
Quote uit de toelichting/verklaring bij een page scan resultaat.
Het is een tracking cookie, die ook niet uitgezet kan worden. Het is om vast te stellen wie volgens Cloudflare trusted of non-trustred is. Geen 'best practices'. In ieder geval staat de "Host only attribute"-optie daarbij niet ingeschakeld
Je zou een echte excessieve test moeten doen om alles helder te krijgen en de keuzes die gemaakt zijn te onderbouwen of verwerpen. Dit ter overdenking,
groetjes,
WOT's luntrus