Même lorsque vous avez désactivé l’accès HTTP à votre site ArcGIS Server, il est potentiellement encore vulnérable à un ensemble d’attaques de sécurité connues sous le nom de SSL stripping. Ce type d’attaque profite d’un manque de communication entre le site et les navigateurs Web de vos utilisateurs, les informant de n’utiliser que des requêtes HTTPS. Si un pirate exécute une fausse copie de votre site ArcGIS Server sur le port 80 et intercepte une requête HTTP initiale depuis le navigateur d’un utilisateur, il peut potentiellement recevoir des informations de sécurité compromettantes de la part de l’utilisateur.
Pour éviter tout risque de vulnérabilité face aux attaques de type SSL stripping, le protocole HSTS configure votre site pour rétablir cette communication avec les navigateur Web des utilisateurs. HSTS peut être activé sur un site ArcGIS Server 10.6.1.
Activer le protocole HSTS sur votre site
Depuis la version 10.6.1, la chaîne de configuration de la sécurité du répertoire d’administrateur du site ArcGIS Server contient une propriété booléenne HSTSEnabled, qui est définie sur false par défaut. Lorsque cette propriété est mise à jour sur true, le site ArcGIS Server indique aux navigateurs Web de n’envoyer que des requêtes à l’aide du protocole HTTPS sécurisé. Cela est possible grâce à un en-tête, Strict-Transport-Security, qui indique au navigateur de n’utiliser que les requêtes HTTPS pour la période suivante définie par sa propriété max-age (indiquée en secondes). Cette durée est définie sur une année : Strict-Transport-Security: max-age=31536000.
Attention :
Si vos utilisateurs accèdent à votre site ArcGIS Server via votre ArcGIS Web Adaptor ou un serveur proxy inverse, le fait d’appliquer le protocole HSTS sur votre site risque d’avoir des conséquences imprévues. Conformément à l’en-tête envoyée par le protocole HSTS, les navigateurs Web des utilisateurs n’enverront que des requêtes HTTPS à ces appareils ; si le serveur Web héberge votre ArcGIS Web Adaptor, ou si le serveur proxy inverse héberge simultanément d’autres applications qui n’utilisent pas le protocole HTTPS, les utilisateurs ne seront pas en mesure d’accéder à ces autres applications. Vérifiez que ces dépendances n’existent pas avant d’activer le protocole HSTS.
Pour activer le protocole HSTS sur votre site ArcGIS Server, procédez comme suit :
- Connectez-vous à votre répertoire d’administrateur ArcGIS Server sur https://gisserver.domain.com:6443/arcgis/admin.
- Accédez à Sécurité > Configuration > Mettre à jour.
- Si le paramètre Protocol (Protocole) n’est pas déjà défini sur HTTPS Only (HTTPS uniquement), définissez-le maintenant.
- Lorsque la communication HTTP est désactivée par le protocole du site, l’option HTTP Strict Transport Security (HSTS) enabled (Protocole HSTS activé) est disponible. Cochez cette case pour activer le protocole HSTS, et cliquez sur Update (Mettre à jour).
- Une fois que le site du serveur redémarre, il commence à renvoyer l’en-tête Strict-Transport-Security vers tous les navigateurs Web envoyant des requêtes au site.
L’option HTTP Strict Transport Security peut également être activée sur un portail ArcGIS Enterprise .
Vous avez un commentaire à formuler concernant cette rubrique ?