Chat now with support
Chat with Support

Identity Manager 8.1.4 - Konfigurationshandbuch für Webanwendungen

Über dieses Handbuch Konfiguration des Web Portals Webauthn-Sicherheitsschlüssel Starling Two-Factor Authentication Kennwortrücksetzungsportal Empfehlungen für einen sicheren Betrieb von Webanwendungen

HTTP Strict Transport Security (HSTS) verwenden

HTTP Strict Transport Security (HSTS) ist ein Sicherheitsmechanismus für HTTPS-Verbindungen. Dieser Mechanismus schützt vor Aushebelung der Verbindungsverschlüsselung durch Downgrade-Attacke und Session Hijacking. Hierbei kann ein Server mithilfe des HTTP Response Header "Strict-Transport-Security" dem Browser des Benutzer mitteilen, zukünftig eine definierte Zeit (max-age) ausschließlich verschlüsselte Verbindungen für diese Domain zu verwenden. Wahlweise lässt sich diese Einstellung über den Parameter includeSubDomains auf alle Subdomains ausweiten. Das heißt, es wird nicht nur https://example.org berücksichtigt, sondern auch https://subdomains.example.org.

Um HSTS zu aktivieren

  1. Öffnen Sie die Konfigurationsdatei web.config der gewünschten Webanwendung.
  2. Setzen Sie den HTTP Response Header Strict-Transport-Security und den Wert maxage = expireTime.

    Ausführliche Informationen wie Sie den HTTP Response Header setzen, finden Sie unter folgendem Link https://docs.microsoft.com/en-us/iis/configuration/system.applicationhost/sites/site/hsts.

Unsichere Verschlüsselungsmechanismen abschalten

Aus Sicherheitsgründen wird empfohlen alte, nicht benötigte Verschlüsselungsmethoden und Protokolle zu deaktivieren. Durch das Deaktivieren von alten Protokollen und Methoden können ältere Plattformen und Systeme unter Umständen keine Verbindung mehr mit der Webanwendung aufbauen. Es ist daher notwendig, anhand der benötigten Plattformen zu entscheiden, welche Protokolle und Methoden notwendig sind.

HINWEIS: Zur Deaktivierung der Verschlüsselungsmethoden und Protokolle wird die Software "IIS Crypto" von Nartac Software empfohlen.

Ausführliche Informationen zur Deaktivierung finden Sie unter https://www.nartac.com/Products/IISCrypto.

Detaillierte Informationen zum Thema

"HttpOnly"-Attribut für ASP.NET-Session-Cookies setzen

Um zu verhindern, dass Cookies mit JavaScript manipuliert werden können und um das Risiko von Cross-Site-Scripting-Angriffen und Cookie-Diebstahl zu reduzieren, können Sie das sogenannte "HttpOnly"-Attribut für Ihre ASP.NET-Session-Cookies setzen. Dadurch können Cookies nicht mehr durch Client-seitige Skripte verwendet werden.

Um das "HttpOnly"-Attribut für die ASP.NET-Session-Cookies zu setzen

  1. Öffnen Sie die Konfigurationsdatei web.config der gewünschten Webanwendung.

  2. Fügen Sie folgenden Code-Schnipsel innerhalb des Abschnitts <configuration> ein:

    <system.web>
        <httpCookies httpOnlyCookies="true"/>
    </system.web>
  3. Speichern Sie die Datei.

Verwandte Themen

"Same-site"-Attribut für ASP.NET-Session-Cookies setzen

Um eine Cross-Site-Request-Forgery (CSRF) zu vermeiden, können Sie für Ihre ASP.NET-Session-Cookies das Same-site-Attribut setzen.

Um das Same-site-Attribut für alle .NET-Versionen ab 4.7.2 zu setzen

  1. Öffnen Sie die Konfigurationsdatei web.config der gewünschten Webanwendung.

  2. Fügen Sie folgenden Code-Schnipsel innerhalb des Abschnitts <configuration> ein:

    <system.web>
        <httpCookies sameSite="Strict" />
    </system.web>
  3. Speichern Sie die Datei.

Verwandte Themen
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating