pfaffman
(Jay Pfaffman)
1
クライアントが便利なセキュリティスキャナーを使用したところ、Strict-Transport-Security ヘッダーに「includeSubdomains」を含めるべきだと考えられるようになりました。
app.yml に両方を追加しました。
after_ssl:
- replace:
filename: /etc/nginx/conf.d/outlets/server/20-https.conf
from: "max-age=31536000;"
to: "max-age=31536000; includeSubDomains;"
- replace:
filename: /etc/nginx/conf.d/outlets/discourse/20-https.conf
from: "max-age=31536000;"
to: "max-age=31536000; includeSubDomains;"
- exec: sed -i "s/add_header Strict-Transport-Security 'max-age=31536000';/add_header Strict-Transport-Security \"max-age=31536000; includeSubDomains\" always;/" /etc/nginx/conf.d/outlets/discourse/20-https.conf /etc/nginx/conf.d/outlets/server/20-https.conf
どちらも機能しません。2番目の sed コマンドをコンテナ内で実行すると機能し、nginx を再起動すると要求どおりに動作します。
なぜ機能しないのか理解できません。
また、これは以前はテンプレートに含まれていましたが、2014 年に削除されたようです。しかし、最近の投稿には includeSubdomains が含まれているヘッダーが表示されます。
お手上げです。
「いいね!」 1
うーん、ここでは返信が得られていないようですね。このトピックは Dev または Installation > Hosting に属しますか? 
「いいね!」 1
pfaffman
(Jay Pfaffman)
3
さて、そこに移動しましたが、最初の問題は、includeSubDomains を設定しないことがセキュリティ上の問題であると主張した人がいたことです。
STS ヘッダーに IncludeSubDomains を含めることが重要かどうかを知っていて気にかけている人が、この問題に対処してくれると嬉しいです。そうすれば、何十万もの他のサイトが同意しないこと、そしておそらくこれらの「セキュリティ上の欠陥」を見つけるために実行されたスクリプトが間違っていることをこの人に伝えることができるかもしれません。
ですから、これを「STSヘッダーにincludeSubDomainsがないことは有害と見なされる」と改名すべきかもしれません。
「いいね!」 2
RGJ
(Richard - Communiteq)
5
私はそれを設定上の選択と呼びたいと思います。
フォーラムはルートドメインにありますか、それともそうではありませんか?
私は、他のホスト名に影響を与えるヘッダーを設定することには非常に注意していると常に人々に伝えています。それらのホストにもHSTSを適用したい場合は、代わりにそれらのそれぞれのホストでヘッダーを設定する必要があります。
私が思いつく唯一の有効な理由は、それができない場合です。たとえば、フォーラムがルートドメインにあり、クライアントが外部でホストされている他のホストのHSTSヘッダーを制御できない場合です。たとえば、Shopify.example.com もホストしている場合などです。その場合、あなたは抵抗の少ない道だから、基本的にあなたに来ます 
「いいね!」 2
pfaffman
(Jay Pfaffman)
6
ありません。
私もそう思っていたのですが、うまく説明できませんでした。
ありがとうございます。Apexドメインではないので、各ホストが独自のルールを強制するのが最善策であると彼らに伝えます。
本当にありがとうございます。大変助かります。少なくとも今では理解できたと確信しています。
「いいね!」 2
pfaffman
(Jay Pfaffman)
クローズされました:
7
このトピックは、最後の返信から30日後に自動的にクローズされました。新しい返信は許可されていません。