Selbst wenn für das Webprotokoll der ArcGIS Server-Site Nur HTTPS eingestellt wurde, bleibt die Gefahr des SSL-Strippings bestehen. Bei solchen Angriffen wird ein Kommunikationsdefizit zwischen der Site und dem Webbrowser Ihrer Benutzer ausgenutzt, um diese darüber zu informieren, dass ausschließlich HTTPS-Anforderungen verwendet werden sollen. Wenn ein Angreifer dann eine gefälschte Kopie Ihrer ArcGIS Server-Site auf Port 80 ausführt und eine ursprüngliche HTTP-Anforderung vom Browser des Benutzers abfängt, wäre er theoretisch in der Lage, an sicherheitsrelevante Informationen des Benutzers zu gelangen.
Wenn Sie diese Sicherheitslücke schließen und SSL-Stripping-Angriffe verhindern möchten, können Sie Ihre Site mit dem HTTP Strict Transport Security (HSTS)-Protokoll so konfigurieren, dass eine solche Kommunikation an den Webbrowser des Benutzers zurückgesendet wird. Sie können HSTS in einer ArcGIS Server 11.1-Site aktivieren.
Aktivieren von HSTS für die Site
Seit Version 10.6.1 enthält die Zeichenfolge für die Sicherheitskonfiguration im ArcGIS Server-Administratorverzeichnis der Site eine Boolesche HSTSEnabled-Eigenschaft, die standardmäßig auf false eingestellt ist. Wenn Sie diese Eigenschaft in true ändern, weist die ArcGIS Server-Site den Webbrowser an, Anforderungen nur über das sichere HTTPS-Protokoll zu senden. Diese Anweisung verbirgt sich in dem Header Strict-Transport-Security; sie bewirkt, dass der Browser für eine bestimmte Zeit ausschließlich HTTPS-Anforderungen verwendet (den genauen Zeitraum in Sekunden definiert die max-age-Eigenschaft). Hier ist die Dauer auf ein Jahr eingestellt: Strict-Transport-Security: max-age=31536000.
Vorsicht:
Wenn die Benutzer über ArcGIS Server oder einen Reverseproxyserver auf Ihre ArcGIS Web Adaptor-Site zugreifen, kann die erzwungene Verwendung von HSTS unbeabsichtigte Folgen haben. Gemäß dem durch das HSTS-Protokoll übermittelten Header versenden die Webbrowser der Benutzer HTTPS-Anforderungen nur an bestimmte Geräte; wenn auf dem Webserver neben ArcGIS Web Adaptor oder dem Reverseproxyserver noch andere Anwendungen gehostet werden, die kein HTTPS verwenden, haben die Benutzer keinen Zugriff auf diese Anwendungen. Vor der Aktivierung von HSTS sollten Sie solche Abhängigkeiten also zunächst beseitigen.
Gehen Sie folgendermaßen vor, um HSTS auf Ihrer ArcGIS Server-Site zu aktivieren:
- Melden Sie sich bei Ihrem ArcGIS Server-Administratorverzeichnis unter https://gisserver.domain.com:6443/arcgis/admin an.
- Navigieren Sie zu security > config > update.
- Setzen Sie den Parameter Protocol gegebenenfalls auf HTTPS Only.
- Wenn das Site-Protokoll keine HTTP-Kommunikation ermöglicht, ist die Option HTTP Strict Transport Security (HSTS) enabled verfügbar. Wählen Sie dieses Kontrollkästchen aus, um HSTS zu aktivieren, und klicken Sie auf Update.
- Nach dem Neustart der Server-Site wird der Strict-Transport-Security-Header an alle Webbrowser zurückgegeben, die Anforderungen an die Site senden.
Das HTTP Strict Transport Security-Protokoll kann ebenfalls in einem ArcGIS Enterprise-Portal aktiviert werden.