Classificação de segurança A+ para sítios Web 4D
Abril 9, 2018
2 Tempo de leitura
Depois de introduzir Perfect Forward Secrecy, o nível de segurança do servidor Web 4D foi novamente aumentado com o apoio de HTTP Strict Transport Security (HSTS). A partir de agora, o servidor Web 4D está em conformidade com os mais recentes protocolos de segurança. Basta actualizar para 4D v17 e permitir ao HSTS obter a classificação A+ (o nível mais elevado) dos Laboratórios SSL para os seus sítios Web!
O protocolo HTTPS é utilizado para proteger as comunicações entre um cliente e um servidor. Num mundo onde os seus clientes podem aceder ao seu sítio através de ligações a WiFi públicas num aeroporto ou numa cafetaria, é muito importante exigir que os navegadores dos seus clientes utilizem HTTPS. Para o fazer, basta activar a nova funcionalidade HSTS no seu servidor Web 4D!
ENABLING HSTS
O HSTS permite que os servidores web declarem que os navegadores só devem interagir com ele através de ligações HTTPS seguras. Uma vez activado, o servidor Web 4D adicionará automaticamente informação relacionada com o HSTS a todos os seus cabeçalhos de resposta.
Quando um navegador recebe a resposta inicial do servidor Web 4D com a informação do HSTS, irá registá-la. A partir desse momento, quaisquer pedidos HTTP futuros serão automaticamente transformados em HTTPS. E pode especificar o período de tempo para o navegador armazenar esta informação com a opção Web HSTS max age.
// O tempo que o navegador deve lembrar que o sítio só deve ser acedido utilizando HTTPS.
WEB SET OPTION(Web HSTS max age;25778800)
// Activar o HSTS no servidor Web 4D
WEB SET OPTION(Web HSTS activado;1)
Gestão HTTP e HTTPS
Para além da opção Web HSTS max age, foram adicionadas duas outras opções a WEB SET OPTION para que possa programar activar / desactivar HTTP ou HTTPS no seu servidor Web 4D.
// Desactivar HTTP no seu servidor Web 4D
WEB SET OPTION(Web HTTP activado;0)
// Activar HTTPS no seu servidor Web 4D
WEB SET OPTION(Web HTTPS activado;1)
A opção de activar ou desactivar HTTP também foi adicionada às definições da base de dados na página Web/Configuração.
De momento, não é possível deixar comentários nesta publicação.