A+ Sicherheitseinstufung für 4D-Websites
April 9, 2018
2 Lesezeit
Nach der Einführung von Perfect Forward Secrecy wurde das Sicherheitsniveau von 4D Web Server mit der Unterstützung von HTTP Strict transport Security (HSTS) nochmals erhöht. Von nun an ist 4D Web Server mit den neuesten Sicherheitsprotokollen konform. Aktualisieren Sie einfach auf 4D v17 und aktivieren Sie HSTS, um das A+ Ranking (die höchste Stufe) von SSL Labs für Ihre Websites zu erhalten!
Das HTTPS-Protokoll wird verwendet, um die Kommunikation zwischen einem Client und einem Server zu sichern. In einer Welt, in der Ihre Kunden über öffentliche WiFi-Verbindungen auf einem Flughafen oder in einem Café auf Ihre Website zugreifen können, ist es sehr wichtig, dass die Browser Ihrer Kunden HTTPS verwenden müssen. Aktivieren Sie dazu einfach die neue Funktion HSTS auf Ihrem 4D Web Server!
HSTS AKTIVIEREN
Mit HSTS können Webserver erklären, dass Browser nur über sichere HTTPS-Verbindungen mit ihnen interagieren sollen. Sobald diese Funktion aktiviert ist, fügt 4D Web Server automatisch HSTS-bezogene Informationen zu allen Antwort-Headern hinzu.
Wenn ein Browser die erste Antwort des 4D Webservers mit den HSTS-Informationen empfängt, zeichnet er sie auf. Von diesem Zeitpunkt an werden alle zukünftigen HTTP-Anfragen automatisch in HTTPS umgewandelt. Mit der Option Web HSTS max age können Sie festlegen, wie lange der Browser diese Informationen speichern soll.
// Die Zeit, die der Browser sich merken soll, dass der Zugriff auf die Website nur über HTTPS erfolgen soll.
WEB SET OPTION(Web HSTS max age;25778800)
// Aktivieren Sie HSTS auf dem 4D Web Server
WEB SET OPTION(Web HSTS enabled;1)
HTTP- und HTTPS-Verwaltung
Zusätzlich zur Option Web HSTS max age wurden zwei weitere Optionen zum WEB SET OPTION hinzugefügt, mit denen Sie HTTP oder HTTPS auf Ihrem 4D Web Server programmatisch aktivieren/deaktivieren können.
//
WEB SET OPTION(Web HTTP enabled;0)
// Aktivieren Sie HTTPS auf Ihrem 4D Web Server
WEB SET OPTION(Web HTTPS enabled;1)
Die Option zur Aktivierung oder Deaktivierung von HTTP wurde auch zu den Datenbankeinstellungen auf der Seite Web/Konfiguration hinzugefügt.
Für diesen Beitrag sind derzeit keine Kommentare verfügbar.