حتى عند وصول HTTP إلى بوابة ArcGIS Enterprise الإلكترونية، فإنه يزال معرضًا لخطر هجمات تصنيف الأمان المعروفة بحذف SSL. يستغل هذا النوع من الهجمات نقص الاتصال من الموقع بمستعرضات الويب الخاصة بمستخدميك، ويقوم بإبلاغهم باستخدام طلبات HTTPS فقط. إذا قام المهاجم بتشغيل نسخة مزورة من موقع البوابة الإلكترونية على الويب على منفذ 80 واعترض طلب HTTP أوَّلي من مستعرض المستخدم، فمن المحتمل أن يتلقى معلومات بإخلال الأمان من المستخدم.
لإغلاق هذه الثغرة الأمنية لهجمات حذف SSL، يقوم بروتوكول HTTP Strict Transport Security (HSTS) بتكوين بوابتك الإلكترونية لإعادة توفير هذا الاتصال لمستعرضات الويب الخاصة بالمستخدمين. يمكن تمكين HSTS في بوابة ArcGIS Enterprise11.3 إلكترونية.
تمكين أمان نقل HTTP مقيد في البوابة الإلكترونية
بداية من الإصدار 10.6.1، تحتوي سلسلة تكوين الأمان في دليل مسؤول ArcGIS Portal على خاصية منطقية HSTSEnabled، يتم تعيينها إلى false افتراضيًا. عند تحديث هذه الخاصية إلى true، فإن موقع الويب الخاص بالبوابة الإلكترونية يُبلغ مستعرضات الويب بإرسال الطلبات فقط باستخدام HTTPS الآمن. يتم فعل ذلك باستخدام عنوان، Strict-Transport-Security الذي يُوجه المستعرض لاستخدام طلبات HTTPS بشكل مقيد للفترة اللاحقة للوقت المحدد بواسطة خاصية max-age (المحددة بالثوان). يتم تعيين هذه المدة إلى سنة واحدة: Strict-Transport-Security: max-age=31536000.
تنبيه:
إذا قام المستخدمون بالوصول إلى بوابتك الإلكترونية عبر ArcGIS Web Adaptor أو خادم وكيل عكسي، قد يترتب على فرض HSTS في موقعك نتائج غير مقصودة. ووفقًا للعنوان المرسَل بواسطة بروتوكول HSTS، لن تقوم مستعرضات الويب الخاصة بالمستخدمين إلا بإرسال طلبات HTTPS إلى تلك الأجهزة، فإذا كان خادم الويب الذي يستضيف ArcGIS Web Adaptor أو خادم الوكيل العكسي يستضيف في نفس الوقت التطبيقات التي لا تستخدم HTTPS، لن يتمكن المستخدمين من الوصول إلى تلك التطبيقات الأخرى. تأكد من عدم وجود هذه التوابع قبل تمكين HSTS.
لتمكين HSTS على موقع البوابة الإلكترونية على الويب، اتبع الخطوات التالية:
- سجل الدخول إلى دليل مسؤول بوابة ArcGIS الإلكترونية في https://portal.domain.com:7443/arcgis/portaladmin.
- استعرض أمان > شهادات SSL > تحديث.
- في هذه الصفحة، قم بالتأشير على خيار تمكين أمان نقل HTTP المقيد (HTTP) لتمكين HSTS، والتأكيد على تحديث.
ملاحظة:
بشكل افتراضي، يقوم Portal for ArcGIS بفرض HTTPS على كافة عمليات الاتصال. إذا قمت مسبقًا بتغيير هذا الإعداد للسماح لكل من اتصالات HTTP وHTTPS للبوابة الإلكترونية الخاصة بك، فسوف يؤدي تمكين HSTS إلى تطبيق اتصالات HTTPS فقط بشكل تلقائي.
- بمجرد إعادة تشغيل البوابة الإلكترونية، فإنها تبدأ في إرجاع عنوان Strict-Transport-Security إلى كل مستعرضات الويب التي ترسل الطلبات إلى الموقع.
يمكن أيضًا تمكين أمان نقل HTTP المقيد في موقع ArcGIS Server.