Después de haber introducido el Perfect Forward Secrecy, el nivel de seguridad del servidor web 4D ha sido aumentado de nuevo con el soporte de HTTP Strict transport Security (HSTS). A partir de ahora, 4D Web server es compatible con los últimos protocolos de seguridad. Simplemente actualice a 4D v17 y habilite HSTS para obtener la clasificación A+ (el nivel más alto) de SSL Labs para sus sitios web.
El protocolo HTTPS se utiliza para asegurar las comunicaciones entre un cliente y un servidor. En un mundo en el que tus clientes pueden acceder a tu sitio a través de conexiones a WiFi públicas en un aeropuerto o en una cafetería, es muy importante exigir a los navegadores de tus clientes que utilicen HTTPS. Para ello, basta con activar la nueva función HSTS en su servidor web 4D.
ACTIVAR HSTS
HSTS permite a los servidores web declarar que los navegadores sólo deben interactuar con él a través de conexiones seguras HTTPS. Una vez activado, el servidor 4D Web añadirá automáticamente información relacionada con HSTS a todas sus cabeceras de respuesta.
Cuando un navegador recibe la respuesta inicial del servidor 4D Web con la información HSTS, la registrará. A partir de ese momento, cualquier petición HTTP futura se transformará automáticamente a HTTPS. Y se puede especificar el tiempo que el navegador debe almacenar esta información con la opción Web HSTS max age.
// El tiempo que el navegador debe recordar que sólo se puede acceder al sitio usando HTTPS.
WEBSET OPTION(Web HSTSmax age;25778800)
//Habilitar HSTS en el servidor web de 4D
WEB SET OPTION(Web HSTS enabled;1)
Gestión de HTTP y HTTPS
Además de la opción Web HSTS max age, se han añadido otras dos opciones a WEB SET OPTION para que pueda habilitar/deshabilitar programáticamente HTTP o HTTPS en su servidor web 4D.
// Desactivar HTTP en su servidor 4D Web
WEB SET OPTION(WebHTTP enabled;0)
// Activar HTTPS en su servidor 4D Web
WEB SET OPTION(Web HTTPS enabled;1)
La opción de habilitar o deshabilitar HTTP también se ha añadido a la Configuración de la base de datos en la página Web/Configuración.