Temos falhado em nossas varreduras de PCI porque o ColdFusion possui CFIDs previsíveis. A falha exata que obtemos é "IDs de sessão de cookie previsíveis". Agora, o CFTOKEN não é mais previsível, pois configurei o CF para usar o UUID para CFTOKEN; no entanto, o CFID ainda é previsível e não é afetado por nenhuma alteração no CF Admin.

Realmente não sei por que o CFID ser previsível é uma ameaça, mas eles querem que consertemo

Não consegui encontrar nada sobre o assunto pesquisando no Google e realmente não tenho certeza do que mais fazer.

Alguém mais lidou com algo assim? Alguma sugestão

EDIT: Aqui está a aparência do meu arquivo Application.cfc:

<cfcomponent output="false">

    <cfset this.name="DatabaseOnline">
    <cfset this.sessionManagement=true>
    <cfset this.setDomainCookies=true>
    <cfset this.setClientCookies=true>
    <cfset this.sessionTimeOut=#CreateTimeSpan(0,20,0,0)#>

</cfcomponent> 

E meu administrador de CF é assim:http: //i.imgur.com/k9OZH.pn

Então, como desabilito o CFID?