Classifica di sicurezza A+ per i siti web 4D
Aprile 9, 2018
2 Tempo di lettura
Dopo l’introduzione della Perfect Forward Secrecy, il livello di sicurezza del server Web 4D è stato nuovamente aumentato con il supporto di HTTP Strict transport Security (HSTS). D’ora in poi, il server Web 4D è conforme ai più recenti protocolli di sicurezza. È sufficiente aggiornare a 4D v17 e abilitare HSTS per ottenere la classificazione A+ (il livello più alto) da SSL Labs per i vostri siti web!
Il protocollo HTTPS è utilizzato per proteggere le comunicazioni tra un client e un server. In un mondo in cui i vostri clienti possono accedere al vostro sito tramite connessioni WiFi pubbliche in un aeroporto o in una caffetteria, è molto importante richiedere ai browser dei vostri clienti di utilizzare HTTPS. Per farlo, basta attivare la nuova funzione HSTS sul vostro server Web 4D!
ABILITAZIONE DI HSTS
HSTS consente ai server Web di dichiarare che i browser devono interagire con esso solo tramite connessioni sicure HTTPS. Una volta attivato, il server Web 4D aggiungerà automaticamente le informazioni relative all’HSTS a tutte le intestazioni delle risposte.
Quando un browser riceve la risposta iniziale del server Web 4D con le informazioni HSTS, la registra. Da quel momento in poi, tutte le future richieste HTTP saranno automaticamente trasformate in HTTPS. È possibile specificare la durata della memorizzazione di queste informazioni da parte del browser con l’opzione Web HSTS max age.
// Il tempo in cui il browser deve ricordare che si può accedere al sito solo tramite HTTPS.
WEB SET OPTION(Web HSTS max age;25778800)
// Abilita HSTS sul server Web 4D
WEB SET OPTION(Web HSTS enabled;1)
Gestione HTTP e HTTPS
Oltre all’opzione Web HSTS max age, sono state aggiunte altre due opzioni al comando WEB SET OPTION in modo da poter attivare/disattivare programmaticamente HTTP o HTTPS sul server Web 4D.
// Disabilitare HTTP sul server Web 4D
WEB SET OPTION(Web HTTP enabled;0)
// Abilitare HTTPS sul server Web 4D
WEB SET OPTION(Web HTTPS enabled;1)
L’opzione per abilitare o disabilitare HTTP è stata aggiunta anche alle Impostazioni del database nella pagina Web/Configurazione.
Al momento non è possibile lasciare commenti su questo post.