問題タブ [hsts]

HTTPSでのみ .htaccess から HSTS ヘッダーを設定する方法で説明されているように、すべての HTTPS トラフィックに対して STS ヘッダーを発行するように (うまくいけば) Apache を設定しました。

Chrome 開発ツールの応答ヘッダーを見て、これが機能していることを確認できることを望んでいましたが、それに関連するものは何もないようです:

これが正しく機能していることを確認する方法はありますか? どんな助けでも大歓迎です。

最近、wordpress サイトをあるホストゲーター アカウントから別のアカウントに移動しました。アドオンドメインになりました。ここ数日間、すべてがうまく機能していました。

その後、管理領域にアクセスしようとすると、突然 Chrome で次のエラーが表示されるようになりました。

SSLを持っていないため、続行しても役に立ちませんでした.404が返されます.

実際、私がプレイする URL ハイジンクは問題ではありません。管理領域にアクセスするたびに、HTTPS を使用しようとします。

これはChromeのみです。Chrome が HTTPS アドレスをリクエストしているようです。wp-login.php のすべての https コードをコメントアウトしようとしましたが、サイコロはありません。

Chrome のアンインストール、Cookie のクリアなどを試しましたが、ダメです。

私は機知に富んでいます。

編集:すべてのプラグインを (cPanel 経由で) 無効にしてみましたが、WooCommerce に絞り込みましたか? 何年も前から使ってい...

春のセキュリティ (4.0.1.Release) は、https プロトコルのデフォルトで HSTS ホストを設定し、応答ヘッダーで確認できますStrict-Transport-Security: max-age=31536000 ;(私は Firefox>Web Development>Network を使用しました)。

しかし、Firefox コンソールを見ると、次のようなエラーが表示The site specified an invalid Strict-Transport-Security header. されます。

同じ応答ヘッダーが生成され、FireFox は再びエラーを表示します。

https://developer.mozilla.org/docs/Security/HTTP_Strict_Transport_Securityによると、ヘッダーは正しくなければなりません!

コメントはありますか?!

HTTP Strict Transport Security (HSTS) を使用する Web サイトからのトラフィックを記録しようとしています。その結果、証明書の例外を追加することはできません。これは、セッションを記録できないことを意味します。

どうすればこれを処理できるか知っている人はいますか？

ASP.NET Identity v2 を使用する ASP.NET MVC 5 サイトがあります。NWebSecを使用して「強化」しようとしています。

このサイトでは MVC と Owin を使用しているため、NWebSec.MVC と NWebSec.OWIN NuGet パッケージをインストールしました。

ドキュメントを読むと、設定ファイルを介して NWebSec/MVC に多くのオプションを設定でき、Startup.cs ファイルを介してコードで同じオプションのいくつかを NWebSec.OWIN に設定できます。

たとえば、HSTS を追加するには、web.config で次のようにします。

...および/または startup.cs の次の内容:

私の質問は、両方の場所ですべてのオプションを設定する必要があるのか​​、それとも 1 つの場所だけで設定する必要があるのか​​ (その場合、どちらが優れているか) ですか?

web.config ファイルですべての構成を行いたいのですが、Startup.cs ファイルで設定する必要があるいくつかの設定が失われるかどうかはわかりません。

ブラウザで Google、Youtube、その他の Web サイトを開くことができません。証明書認証エラーを示しています。

信頼できるウェブサイトとして変更しました。次のように表示されます。

どうすればいいのかわかりません。私はグーグルすることができません。

facebook、yahoo、Gmail などの他の Web サイトは、ブラウザーに正しく読み込まれます。

これはgoogle-chromeのメッセージです：

詳細をクリックすると、クロムに表示されるメッセージ:

これは Google サーバーの問題ですか、それともクライアント側のブラウザの問題ですか? このエラーの回避策はありますか?

使用するWebサーバーはnginxですhttp://www.test.comというWebサイトがあるとします。そしてhttps://test.com?marketがあります。すべての https を test.com の 301 http にリダイレクトしています URL の https 厳密なトランスポート セキュリティ ヘッダーを有効にしたいとします。nginx で簡単に追加できます。しかし問題は、テストもブラウザーによって https に移動し (これは 307 リダイレクト)、サーバーから再びリダイレクトされて、テストの無限ループが発生することです。

Django 1.8 プロジェクト用にサイト全体の HTTPS をセットアップしています。私は Web セキュリティの経験がありません。

HTTP から HTTPS へのリダイレクトと HSTS をセットアップしています。

現在、Apache/mod_wsgi Web サーバーでこれを構成していました (PaaS を使用しているため、WSGI ルートの .htaccess ファイルを介して構成します)。

wsgi/.htaccess

Django の公式ドキュメントの SSL推奨事項に従って、本番環境の設定で Cookie を保護しています。

設定/prod.py

注:SECURE_PROXY_SSL_HEADER = (“HTTP_X_FORWARDED_PROTO”, “https”)まだ設定していません。PaaS がプロキシーと Web コンテナーの間でこのヘッダーをプロキシーして除去しているかどうかまだわからないからです。

Django (1.8 以降)には、SSL リダイレクトを実装し、HSTS ヘッダーやその他の便利なものを処理する (古い django-secure からの)セキュリティ ミドルウェアが付属しています。

Django にすべての HTTPS リダイレクト/HSTS 構成を処理させるべきですか、それとも Web サーバー レベルで処理させるべきですか? それぞれの選択のセキュリティ/パフォーマンスへの影響は何ですか?

参照/使用された参照:

https://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security

https://garron.net/crypto/hsts/hsts-2013.pdf

https://cipherli.st/

https://mozilla.github.io/server-side-tls/ssl-config-generator/

https://security.stackexchange.com/questions/8964/trying-to-make-a-django-based-site-use-https-only-not-sure-if-its-secure

http://www.marinamele.com/2014/09/security-on-django-app-https-everywhere.html

https://raymii.org/s/tutorials/HTTP_Strict_Transport_Security_for_Apache_NGINX_and_Lighttpd.html

https://docs.djangoproject.com/en/1.8/topics/security/

私は Web サイトを構築していて、最初の要求が HTTP によって行われた場合に安全であることをどのように保証できるのか疑問に思っています。HSTS はこれを行いますが、部分的です。

HTTPポートを開かないことでこの問題は解決すると思います。しかし、これは標準ですか？当サイトはBtoBなのでSEOは問題ありません。ユーザーは私のアドレスに直接アクセスしますが、HTTP で可能であると仮定します。何か案が？