Hilfe beim Hinzufügen von includeSubDomains zum Strict-Transport-Security-Header

Installation Hosting
1

Ein Kunde hat einen hilfreichen Sicherheits-Scanner verwendet und glaubt nun, dass der Strict-Transport-Security-Header ‘includeSubdomains’ enthalten sollte.

Ich habe beides zu app.yml hinzugefügt:


  after_ssl:
    - replace:
        filename: /etc/nginx/conf.d/outlets/server/20-https.conf
        from: "max-age=31536000;"
        to:  "max-age=31536000; includeSubDomains;"
    - replace:
        filename: /etc/nginx/conf.d/outlets/discourse/20-https.conf
        from: "max-age=31536000;"
        to:  "max-age=31536000; includeSubDomains;"

- exec: sed -i "s/add_header Strict-Transport-Security 'max-age=31536000';/add_header Strict-Transport-Security \"max-age=31536000; includeSubDomains\" always;/" /etc/nginx/conf.d/outlets/discourse/20-https.conf /etc/nginx/conf.d/outlets/server/20-https.conf

Keines davon scheint zu funktionieren. Die Ausführung des sed-Befehls im zweiten auf innerhalb des Containers funktioniert und nach dem Neustart von nginx erledigt er, was gewünscht wird.

Ich verstehe nicht, warum es nicht funktioniert.

Außerdem war dies früher in der Vorlage enthalten, aber es scheint, dass es 2014 entfernt wurde, aber einige neuere Beiträge enthalten Header, die includeSubdomains darin anzeigen.

Ich bin ratlos.

1 „Gefällt mir“
2

Hmm.. du scheinst hier keine Antwort zu bekommen. Gehört dieses Thema zu Dev oder Installation > Hosting? :thinking:

1 „Gefällt mir“
3

Nun, ich habe es dorthin verschoben, aber das ursprüngliche Problem ist, dass jemand behauptete, das Nichtsetzen von includeSubDomains sei ein Sicherheitsproblem.

Ich würde mich freuen, wenn jemand, der weiß und sich darum kümmert, ob IncludeSubDomains im STS-Header wichtig ist, das Problem angehen könnte, damit ich dieser Person vielleicht sagen kann, dass Hunderttausende anderer Websites anderer Meinung sind und dass das Skript, das jemand ausgeführt hat, um diese „Sicherheitslücken“ zu finden, falsch ist.

Vielleicht sollte ich es also in „Fehlendes includeSubDomains im STS-Header als schädlich betrachtet“ umbenennen.

2 „Gefällt mir“
5

Ich würde es eher als eine Konfigurationsentscheidung bezeichnen.

Befindet sich das Forum auf einer Apex-Domain oder nicht?

Ich sage den Leuten immer, dass wir sehr vorsichtig damit sind, Header zu setzen, die sich auf andere Hostnamen ihrer Domain auswirken, und wenn sie HSTS auf diesen haben möchten, sollten sie die Header stattdessen auf diesen jeweiligen Hosts setzen.

Der einzig gültige Grund, der mir einfällt, ist, dass sie das nicht können, z. B. wenn sich das Forum auf einer Apex-Domain befindet und der Client die HSTS-Header auf anderen extern gehosteten Hosts nicht steuern kann, z. B. wenn sie auch shopify.example.com gehostet haben. Dann kommen sie im Grunde zu Ihnen, weil Sie der Weg des geringsten Widerstands sind :slight_smile:

2 „Gefällt mir“
6

Das ist nicht der Fall.

Das ist, was ich glaube, dass ich gedacht habe, obwohl ich es nicht artikulieren konnte.

Danke. Ich werde ihnen sagen, dass es, da es sich nicht um die Apex-Domain handelt, bewährte Praxis ist, dass jeder Host seine eigenen Regeln durchsetzt.

Vielen Dank. Das ist eine große Hilfe. Jetzt bin ich mir zumindest ziemlich sicher, dass ich es verstehe.

2 „Gefällt mir“
7

Dieses Thema wurde 30 Tage nach der letzten Antwort automatisch geschlossen. Neue Antworten sind nicht mehr zulässig.