Nawet jeśli dostęp do portalu ArcGIS Enterprise za pośrednictwem protokołu HTTP jest wyłączony, jest on nadal potencjalnie podatny na klasę ataków na zabezpieczenia nazywaną usuwaniem SSL (stripping). Ten typ ataku wykorzystuje brak komunikacji między witryną a przeglądarkami internetowymi użytkowników, informując je, aby używały tylko żądań HTTPS. Jeśli atakujący uruchomi fałszywą kopię witryny internetowej portalu na porcie 80 i przechwyci początkowe żądanie HTTP z przeglądarki użytkownika, może potencjalnie otrzymać od tego użytkownika informacje naruszające bezpieczeństwo.
W celu zablokowania tej podatności na ataki usuwania SSL (stripping) protokół HSTS (HTTP Strict Transport Security) konfiguruje portal w taki sposób, aby zwrócić tę komunikację do przeglądarek internetowych użytkowników. Mechanizm HSTS można włączyć w portalu ArcGIS Enterprise 11.3.
Włączanie mechanizmu HTTP Strict Transport Security w portalu
Począwszy od wersji 10.6.1, ciąg znakowy konfiguracji zabezpieczeń w aplikacji ArcGIS Portal Administrator Directory zawiera właściwość logiczną (Boolean) HSTSEnabled, która domyślnie jest skonfigurowana na false. Gdy ta właściwość zostaje zaktualizowana do true, witryna internetowa portalu informuje przeglądarki, że mają wysyłać żądania wyłącznie z użyciem bezpiecznego protokołu HTTPS. Jest to realizowane za pomocą nagłówka, Strict-Transport-Security, nakazującemu przeglądarce ścisłe użycie żądań HTTPS przez kolejny odstęp czasu zdefiniowany w jej właściwości max-age (podanej w sekundach). Ten czas trwania jest skonfigurowany na rok: Strict-Transport-Security: max-age=31536000.
Uwaga:
Jeśli użytkownicy mają dostęp do portalu przez ArcGIS Web Adaptor lub zwrotny serwer proxy, wymuszenie mechanizmu HSTS w witrynie może spowodować niezamierzone konsekwencje. Zgodnie z nagłówkiem wysłanym przez protokół HSTS przeglądarki internetowe użytkowników będą wysyłać tylko żądania HTTPS do tych urządzeń. Jeśli serwer internetowy hostujący ArcGIS Web Adaptor lub zwrotny serwer proxy hostuje równocześnie inne aplikacje, które nie używają protokołu HTTPS, użytkownicy nie będą mogli mieć dostępu do tych pozostałych aplikacji. Przed włączeniem mechanizmu HSTS upewnij się, że te zależności nie istnieją.
Aby włączyć mechanizm HSTS w witrynie portalu, wykonaj następujące czynności:
- Zaloguj się do aplikacji ArcGIS Portal Administrator Directory pod adresem https://portal.domain.com:7443/arcgis/portaladmin.
- Przejdź do opcji Bezpieczeństwo > Certyfikaty SSL > Aktualizuj.
- Na tej stronie zaznacz opcję Włączony mechanizm HSTS (HTTP Strict Transport Security), aby włączyć mechanizm HSTS, a następnie potwierdź Aktualizuj.
Notatka:
Domyślnie Portal for ArcGIS wymusza zastosowanie protokołu HTTPS dla całej komunikacji. Jeśli wcześniej to ustawienie zostało zmienione, aby zezwolić na komunikację w portalu zarówno przy użyciu protokołu HTTP, jak i protokołu HTTPS, włączenie mechanizmu HSTS spowoduje automatyczne wymuszenie komunikacji przy użyciu wyłącznie protokołu HTTPS.
- Po zrestartowaniu portalu zacznie on zwracać nagłówek Strict-Transport-Security do wszystkich przeglądarek internetowych wysyłających żądania do witryny.
Mechanizm HTTP Strict Transport Security może również zostać włączony w witrynie ArcGIS Server.