Clasificación de seguridad A+ para los sitios web de 4D
abril 9, 2018
2 tiempo de lectura
Después de haber introducido el Perfect Forward Secrecy, el nivel de seguridad del servidor web 4D ha sido aumentado de nuevo con el soporte de HTTP Strict transport Security (HSTS). A partir de ahora, 4D Web server es compatible con los últimos protocolos de seguridad. Simplemente actualice a 4D v17 y habilite HSTS para obtener la clasificación A+ (el nivel más alto) de SSL Labs para sus sitios web.
El protocolo HTTPS se utiliza para asegurar las comunicaciones entre un cliente y un servidor. En un mundo en el que tus clientes pueden acceder a tu sitio a través de conexiones a WiFi públicas en un aeropuerto o en una cafetería, es muy importante exigir a los navegadores de tus clientes que utilicen HTTPS. Para ello, basta con activar la nueva función HSTS en su servidor web 4D.
ACTIVAR HSTS
HSTS permite a los servidores web declarar que los navegadores sólo deben interactuar con él a través de conexiones seguras HTTPS. Una vez activado, el servidor 4D Web añadirá automáticamente información relacionada con HSTS a todas sus cabeceras de respuesta.
Cuando un navegador recibe la respuesta inicial del servidor 4D Web con la información HSTS, la registrará. A partir de ese momento, cualquier petición HTTP futura se transformará automáticamente a HTTPS. Y se puede especificar el tiempo que el navegador debe almacenar esta información con la opción Web HSTS max age.
// El tiempo que el navegador debe recordar que sólo se puede acceder al sitio usando HTTPS.
WEBSET OPTION(Web HSTSmax age;25778800)
//Habilitar HSTS en el servidor web de 4D
WEB SET OPTION(Web HSTS enabled;1)
Gestión de HTTP y HTTPS
Además de la opción Web HSTS max age, se han añadido otras dos opciones a WEB SET OPTION para que pueda habilitar/deshabilitar programáticamente HTTP o HTTPS en su servidor web 4D.
// Desactivar HTTP en su servidor 4D Web
WEB SET OPTION(WebHTTP enabled;0)
// Activar HTTPS en su servidor 4D Web
WEB SET OPTION(Web HTTPS enabled;1)
La opción de habilitar o deshabilitar HTTP también se ha añadido a la Configuración de la base de datos en la página Web/Configuración.
Por el momento, no se pueden publicar comentarios en esta entrada.