Como faço para proteger CFID para conformidade com PCI?
Temos falhado em nossas varreduras de PCI porque o ColdFusion possui CFIDs previsíveis. A falha exata que obtemos é "IDs de sessão de cookie previsíveis". Agora, o CFTOKEN não é mais previsível, pois configurei o CF para usar o UUID para CFTOKEN; no entanto, o CFID ainda é previsível e não é afetado por nenhuma alteração no CF Admin.
Realmente não sei por que o CFID ser previsível é uma ameaça, mas eles querem que consertemo
Não consegui encontrar nada sobre o assunto pesquisando no Google e realmente não tenho certeza do que mais fazer.
Alguém mais lidou com algo assim? Alguma sugestão
EDIT: Aqui está a aparência do meu arquivo Application.cfc:
<cfcomponent output="false">
<cfset this.name="DatabaseOnline">
<cfset this.sessionManagement=true>
<cfset this.setDomainCookies=true>
<cfset this.setClientCookies=true>
<cfset this.sessionTimeOut=#CreateTimeSpan(0,20,0,0)#>
</cfcomponent>
E meu administrador de CF é assim:http: //i.imgur.com/k9OZH.pn
Então, como desabilito o CFID?