Aiuto nell'aggiunta di includeSubDomains all'header Strict-Transport-Security

Installazione Ospitare
1

Un cliente ha utilizzato un utile scanner di sicurezza e ora ritiene che l’header Strict-Transport-Security debba includere ‘includeSubdomains’.

Ho aggiunto entrambi in app.yml:


  after_ssl:
    - replace:
        filename: /etc/nginx/conf.d/outlets/server/20-https.conf
        from: "max-age=31536000;"
        to:  "max-age=31536000; includeSubDomains;"
    - replace:
        filename: /etc/nginx/conf.d/outlets/discourse/20-https.conf
        from: "max-age=31536000;"
        to:  "max-age=31536000; includeSubDomains;"

- exec: sed -i "s/add_header Strict-Transport-Security 'max-age=31536000';/add_header Strict-Transport-Security \\\"max-age=31536000; includeSubDomains\\\" always;/\" /etc/nginx/conf.d/outlets/discourse/20-https.conf /etc/nginx/conf.d/outlets/server/20-https.conf

Nessuno dei due sembra funzionare. L’esecuzione del comando sed nel secondo all’interno del container funziona e, dopo aver riavviato nginx, fa quanto richiesto.

Non capisco perché non funzioni.

Inoltre, questo era precedentemente nel template, ma sembra che sia stato rimosso nel 2014, ma alcuni post recenti includono header che mostrano includeSubdomains al loro interno.

Sono perplesso.

1 Mi Piace
2

Hmm.. non sembra che tu stia ottenendo una risposta qui. Questo argomento appartiene a Dev o Installation > Hosting? :thinking:

1 Mi Piace
3

Beh, l’ho spostato lì, ma il problema iniziale è che qualcuno ha affermato che non impostare includeSubDomains fosse un problema di sicurezza.

Mi piacerebbe se qualcuno che sapesse e si preoccupasse se avere IncludeSubDomains nell’header STS fosse importante potesse affrontare il problema in modo che forse potrei dire a questa persona che centinaia di migliaia di altri siti non sono d’accordo e che forse lo script che qualcuno ha eseguito per trovare queste “falle di sicurezza” è sbagliato.

Quindi forse dovrei rinominarlo “manca includeSubDomains nell’header STS considerato dannoso”

2 Mi Piace
5

Lo definirei piuttosto una scelta di configurazione.

Il forum si trova su un dominio apex o no?

Dico sempre alle persone che siamo molto cauti nell’impostare header che influenzano altri hostname sul loro dominio e che, se vogliono avere HSTS su quelli, dovrebbero impostare gli header sui rispettivi host invece.

L’unica ragione valida che mi viene in mente è che non possono farlo, ad esempio quando il forum si trova su un dominio apex e il client non è in grado di controllare gli header HSTS su altri host ospitati esternamente, ad esempio hanno anche ospitato shopify.example.com. Allora praticamente vengono da te perché sei la via di minor resistenza :slight_smile:

2 Mi Piace
6

Non lo è.

Questo è quello che penso di aver pensato, anche se non sono riuscito ad articolarlo.

Grazie. Dirò loro che, poiché non è il dominio Apex, è buona norma che ogni host applichi le proprie regole.

Grazie mille. Questo è di grande aiuto. Almeno ora sono abbastanza sicuro di aver capito.

2 Mi Piace
7

Questo argomento è stato chiuso automaticamente 30 giorni dopo l’ultima risposta. Non sono più consentite nuove risposte.