المساعدة في إضافة includeSubDomains إلى ترويسة Strict-Transport-Security

تثبيت استضافة
1

استخدم أحد العملاء ماسحًا أمنيًا مفيدًا ويعتقد الآن أنه يجب أن يتضمن رأس Strict-Transport-Security ‘includeSubdomains’.

لقد أضفت كلاهما إلى app.yml:


  after_ssl:
    - replace:
        filename: /etc/nginx/conf.d/outlets/server/20-https.conf
        from: "max-age=31536000;"
        to:  "max-age=31536000; includeSubDomains;"
    - replace:
        filename: /etc/nginx/conf.d/outlets/discourse/20-https.conf
        from: "max-age=31536000;"
        to:  "max-age=31536000; includeSubDomains;"

- exec: sed -i "s/add_header Strict-Transport-Security 'max-age=31536000';/add_header Strict-Transport-Security \"max-age=31536000; includeSubDomains\" always;/" /etc/nginx/conf.d/outlets/discourse/20-https.conf /etc/nginx/conf.d/outlets/server/20-https.conf

لا يبدو أن أيًا منهما يعمل. تشغيل أمر sed في الأمر الثاني بالداخل الحاوية يعمل وبعد إعادة تشغيل nginx، يفعل ما هو مطلوب.

لا أفهم لماذا لن يعمل.

أيضًا، كان هذا موجودًا في القالب، ولكنه يبدو أنه تمت إزالته في عام 2014، ولكن بعض المشاركات الأخيرة تتضمن رؤوسًا تُظهر includeSubDomains هناك.

أنا في حيرة.

إعجاب واحد (1)
2

هممم.. لا يبدو أنك تحصل على إجابة هنا. هل ينتمي هذا الموضوع إلى Dev أم #installation:hosting؟ :thinking:

إعجاب واحد (1)
3

حسنًا، لقد نقلته إلى هناك، لكن المشكلة الأولية هي أن شخصًا ما ادعى أن عدم تعيين includeSubDomains يمثل مشكلة أمنية.

أود أن يتناول شخص يعرف ويهتم بما إذا كان وجود IncludeSubDomains في رأس STS مهمًا هذه المشكلة حتى أتمكن ربما من إخبار هذا الشخص أن مئات الآلاف من المواقع الأخرى تختلف معه وأن ربما يكون البرنامج النصي الذي قام بتشغيله للعثور على هذه “العيوب الأمنية” خاطئًا.

لذا ربما يجب أن أعيد تسمية هذا “فقدان includeSubDomains في رأس STS يعتبر ضارًا”

إعجابَين (2)
5

أود أن أسميها خيار تكوين بدلاً من ذلك.

هل المنتدى على نطاق رئيسي أم لا؟

أخبر دائمًا الأشخاص بأننا حذرون جدًا من تعيين رؤوس تؤثر على أسماء المضيفين الأخرى في نطاقهم، وإذا كانوا يريدون HSTS على تلك، فيجب عليهم تعيين الرؤوس على تلك المضيفين المعنيين بدلاً من ذلك.

السبب الوحيد الصالح الذي يمكنني التفكير فيه هو أنهم لا يستطيعون فعل ذلك، على سبيل المثال عندما يكون المنتدى على نطاق رئيسي ولا يمكن للعميل التحكم في رؤوس HSTS على المضيفين الآخرين المستضافين خارجيًا، على سبيل المثال لديهم مستضاف shopify.example.com أيضًا. ثم يأتون إليك لأنك المسار الأقل مقاومة :slight_smile:

إعجابَين (2)
6

ليس كذلك.

هذا ما أعتقد أنني فكرت فيه، على الرغم من أنني لم أتمكن من توضيحه.

شكراً. سأخبرهم أنه نظرًا لأنه ليس نطاق القمة، فمن أفضل الممارسات أن يفرض كل مضيف قواعده الخاصة.

شكراً جزيلاً. هذا يساعد كثيراً. على الأقل الآن أنا متأكد من أنني أفهم.

إعجابَين (2)
7

تم إغلاق هذا الموضوع تلقائيًا بعد 30 يومًا من آخر رد. لم يعد يُسمح بالردود الجديدة.