Hodnocení zabezpečení A+ pro webové stránky 4D

Po zavedení technologie Perfect Forward Secrecy byla úroveň zabezpečení webového serveru 4D opět zvýšena díky podpoře protokolu HTTP Strict transport Security (HSTS). Webový server 4D je tedy kompatibilní s nejnovějšími bezpečnostními protokoly. Stačí provést upgrade na verzi 4D v17 a povolit HSTS, abyste pro své webové stránky získali hodnocení A+ (nejvyšší úroveň) od SSL Labs!

Protokol HTTPS se používá k zabezpečení komunikace mezi klientem a serverem. Ve světě, kde vaši klienti mohou přistupovat k vašim stránkám prostřednictvím připojení k veřejné Wi-Fi na letišti nebo v kavárně, je velmi důležité vyžadovat, aby prohlížeče vašich klientů používaly protokol HTTPS. K tomu stačí na webovém serveru 4D aktivovat novou funkci HSTS!

AKTIVACE HSTS

Funkce HSTS umožňuje webovým serverům deklarovat, že prohlížeče s nimi mají komunikovat pouze prostřednictvím zabezpečených připojení HTTPS. Po aktivaci přidá webový server 4D automaticky do všech hlaviček odpovědí informace týkající se HSTS.

Když prohlížeč obdrží první odpověď webového serveru 4D s informacemi HSTS, zaznamená je. Od tohoto okamžiku budou všechny budoucí požadavky HTTP automaticky transformovány na HTTPS. A pomocí možnosti Web HSTS max age můžete určit dobu, po kterou má prohlížeč tyto informace ukládat.

// Doba, po kterou si má prohlížeč pamatovat, že na web lze přistupovat pouze pomocí protokolu HTTPS.
WEB SET OPTION(Web HSTS max age;25778800)
// Povolení HSTS na webovém serveru 4D
WEB SET OPTION(Web HSTS enabled;1)

Správa HTTP a HTTPS

Kromě možnosti Web HSTS max age byly přidány další dvě možnosti. WEB SET OPTION příkazu, abyste mohli programově povolit/zakázat protokol HTTP nebo HTTPS na webovém serveru 4D.

// Zakázat HTTP na webovém serveru 4D
WEB SET OPTION(Web HTTP enabled;0)
// Povolit HTTPS na webovém serveru 4D
WEB SET OPTION(Web HTTPS enabled;1)

Možnost povolit nebo zakázat HTTP byla přidána také do nastavení databáze na stránce Web/Konfigurace.