Даже если веб-протокол сайта ArcGIS Server установлен на только HTTPS, он потенциально уязвим для целого класса атак на безопасность, также известных как SSL stripping. Этот тип атак использует отсутствие связи с сайтом в веб-браузерах ваших пользователей, информируя их только об использовании HTTPS-запросов. Если злоумышленник запускает поддельную копию вашего сайта ArcGIS Server через порт 80 и перехватывает начальный HTTP-запрос из браузера пользователя, они могут потенциально получать компрометирующую информацию о безопасности от пользователя.
Чтобы снять потенциальную уязвимость к атакам, направленным на защиту SSL, протокол HTTP Strict Transport Security (HSTS) настроит ваш сайт на использование браузерами только HTTPS. HSTS можно включить на сайте ArcGIS Server 10.9.
Включение HSTS для вашего сайта
Начиная с версии 10.6.1 строка конфигурации безопасности ArcGIS Server Administrator Directory сайта содержит свойство типа Boolean HSTSEnabled, для которого по умолчанию задано значение false. Если это свойство обновляется на true, сайт ArcGIS Server заставляет веб-браузеры посылать запросы только через HTTPS. Этого можно достичь с помощью заголовка Strict-Transport-Security, заставляющего браузер использовать только запросы HTTPS в последующий период времени, задаваемый его свойством max-age (в секундах). Длительность задана равной году: Strict-Transport-Security: max-age=31536000.
Внимание:
Если ваши пользователи работают с сайтом ArcGIS Server через ArcGIS Web Adaptorлибо обратный прокси-сервер, применение HSTS на вашем сайте может повлечь непредсказуемые последствия. В соответствии с заголовком, присланным по протоколу HSTS, веб-браузеры пользователей будут посылать на устройства только запросы HTTPS; если веб-сервер с вашим ArcGIS Web Adaptor или обратный прокси-сервер одновременно размещает и другие приложения, которые не используют HTTPS, пользователи не смогут получить доступ к таким приложениям. Убедитесь в отсутствии подобных зависимостей перед активацией HSTS.
Чтобы включить HSTS на вашем сайте ArcGIS Server, выполните следующие действия.
- Войдите в ArcGIS Server Administrator Directory по адресу https://gisserver.domain.com:6443/arcgis/admin.
- Перейдите в меню security > config > update.
- Если для параметра Протокол не задано Только HTTPS, включите эту опцию.
- Если коммуникация HTTP выключена протоколом сайта, опция включения HTTP Strict Transport Security (HSTS) будет доступна. Поставьте эту отметку для включения HSTS и щелкните Обновить.
- После перезапуска сайта сервера начинается возвращение заголовка Strict-Transport-Security всем веб-браузерам, посылающим запросы на сайт.
HTTP Strict Transport Security можно также включены на портале ArcGIS Enterprise.