Даже если вы отключили доступ по HTTP к своему порталу ArcGIS Enterprise, он потенциально уязвим для целого класса атак на безопасность, также известных как SSL stripping. Этот тип атак использует отсутствие связи с сайтом в веб-браузерах ваших пользователей, информируя их только об использовании HTTPS-запросов. Если атакующая сторона запускает ложную копию сайта вашего портала на порте 80 и перехватывает изначальный HTTP запрос от браузера пользователя, то потенциально эта сторона может получить секретную информацию, угрожающую безопасности пользователя.
Чтобы снизить эту уязвимость атакам SSL stripping, протокол HTTP Strict Transport Security (HSTS) настраивает ваш портал на предоставление этих данных обратно веб-браузерам пользователей. HSTS может быть активирован на портале ArcGIS Enterprise 11.2.
Активация HTTP Strict Transport Security на вашем портале
Начиная с версии 10.6.1, строка настроек безопасности в ArcGIS Portal Administrator Directory содержит булево свойство HSTSEnabled, установленное по умолчанию равным значению false. Когда это свойство обновляется значением true, веб-сайт портала сообщает веб-браузерам, что запросы необходимо отправлять только с помощью защищенного протокола HTTPS. Этого можно достичь с помощью заголовка Strict-Transport-Security, заставляющего браузер использовать только запросы HTTPS в последующий период времени, задаваемый его свойством max-age (в секундах). Длительность задана равной году: Strict-Transport-Security: max-age=31536000.
Внимание:
Если пользователи осуществляют доступ к вашему порталу с помощью ArcGIS Web Adaptor или обратного прокси-сервера, принудительное использование HSTS на вашем сайте может привести к неожиданным последствиям. В соответствии с заголовком, присланным по протоколу HSTS, веб-браузеры пользователей будут посылать на устройства только запросы HTTPS; если веб-сервер с вашим ArcGIS Web Adaptor или обратный прокси-сервер одновременно размещает и другие приложения, которые не используют HTTPS, пользователи не смогут получить доступ к таким приложениям. Убедитесь, что таких зависимостей нет перед тем, как включать HSTS.
Для активации HSTS на веб-сайте вашего портала выполните следующие действия:
- Войдите в ArcGIS Portal Administrator Directory по адресу https://portal.domain.com:7443/arcgis/portaladmin.
- Перейдите в меню Безопасность > Сертификаты SSL > Обновить.
- На этой странице отметьте опцию HTTP Strict Transport Security (HSTS) включено, чтобы активировать HSTS, и подтвердите Обновить.
Примечание:
По умолчанию, Portal for ArcGIS активирует HTTPS для всех подключений. Если вы ранее изменили эту настройку, чтобы разрешить на своем портале работу по протоколам HTTP и HTTPS, включение HSTS позволит работать только по HTTPS.
- После перезапуска портала он начнет возвращать заголовок Strict-Transport-Security для всех веб-браузеров, отправляющих запросы к сайту.
HTTP Strict Transport Security также можно активировать на сайте ArcGIS Server.