Chat now with support
Chat with Support

Identity Manager 8.1.4 - Konfigurationshandbuch für Webanwendungen

Über dieses Handbuch Konfiguration des Web Portals Webauthn-Sicherheitsschlüssel Starling Two-Factor Authentication Kennwortrücksetzungsportal Empfehlungen für einen sicheren Betrieb von Webanwendungen

"Secure"-Attribut für ASP.NET-Session-Cookies setzen

Um zu verhindern, dass Cookies von Unbefugten ausgelesen werden können, können Sie das sogenannte "Secure"-Attribut für Ihre ASP.NET-Session-Cookies setzen. Dadurch werden Cookies nur noch über gesicherte SSL-Verbindungen übertragen.

Um das "Secure"-Attribut für die ASP.NET-Session-Cookies zu setzen

  1. Öffnen Sie die Konfigurationsdatei web.config der gewünschten Webanwendung.

  2. Fügen Sie folgenden Code-Schnipsel innerhalb des Abschnitts <configuration> ein:

    <system.web>
        <httpCookies requireSSL="true"/>
    </system.web>
  3. Speichern Sie die Datei.

Verwandte Themen

Windows-IIS-8.3-Kurznamen deaktivieren

Der URL-Parser in den Microsoft Internet Information Services (IIS) ermöglicht einem Remote-Angreifer, Datei- und Ordnernamen der Webanwendungen (die nicht zugänglich sein sollen) durch Verwenden der IIS-8.3-Kurznamen offen zu legen.

Die Ausnutzung dieser Schwachstelle kann dazu führen, dass Dateien mit sensiblen Informationen wie Anmeldeinformationen, Konfigurationsdateien, Wartungsskripte und anderen Daten weitergegeben werden.

Um dies zu verhindern, können Sie die Erstellung von Kurznamen in Windows IIS 8.3 deaktivieren.

Um die Erstellung von Windows-IIS-8.3-Kurznamen zu deaktivieren

  1. Auf dem System, auf dem die Webanwendung installiert ist, erstellen Sie den folgenden Registry-Eintrag:

    • Pfad: HKLM\SYSTEM\CurrentControlSet\Control\FileSystem

    • Name: NtfsDisable8dot3NameCreation

    • Wert: 1

  2. Führen Sie eine Neuinstallation der Webanwendung durch.

Detaillierte Informationen zum Thema

HTTP-Response-Header in Windows IIS entfernen

Angreifer können viele Informationen über Ihren Server und Ihr Netzwerk erhalten, indem sie sich die Response-Header ansehen, die Ihr Webserver zurückgibt.

Um Angreifern so wenig Informationen wie möglich zu geben, können Sie die HTTP-Response-Header in Windows IIS entfernen.

Um die HTTP-Response-Header in WindowsIIS zu entfernen

X-Frame-Options-HTTP-Response-Header erstellen

Angreifer können eine eigene Webseite erstellen, um den Inhalt Ihrer Website innerhalb eines Iframes zu laden. Dies kann einen Clickjacking-Angriff ermöglichen, bei dem der Angreifer auf Benutzereingaben abzielt, oder Benutzer dazu veranlassen, unbeabsichtigt Aktionen innerhalb der gefälschten Anwendung durchzuführen.

Um dies zu verhindern, können Sie einen X-Frame-Options-HTTP-Response-Header erstellen. Damit können Inhalte der Seite nicht mehr auf anderen Websites eingebunden werden.

Um einen X-Frame-Options-HTTP-Response-Header zu erstellen

  1. Öffnen Sie die Konfigurationsdatei web.config der gewünschten Webanwendung.

  2. Fügen Sie folgenden Code-Schnipsel innerhalb des Abschnitts <configuration> ein:

    <httpProtocol>
        <customHeaders>
            <add name="X-Frame-Options" value="SAMEORIGIN" />
        </customHeaders>
    </httpProtocol>
  3. Speichern Sie die Datei.

Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating