Informujemy o konieczności modyfikacji zabezpieczeń Apache przed sposobem ataku Clickjacking oraz Cross-site scripting. Brak modyfikacji może spowodować nieprawidłowe działanie aplikacji webLSP/webDFE. Artykuł zawiera instrukcję, prezentującą krok po kroku, w jaki sposób wprowadzić podwyższenie zabezpieczeń Apache.
Szanowni Państwo,
W związku z wprowadzonym przez różne przeglądarki internetowe zabezpieczeń przed sposobem ataku Clickjacking oraz Cross-site scripting
https://www.owasp.org/index.php/Clickjacking
https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)
Użytkownicy Apache powinni wprowadzić modyfikację odnośnie zabezpieczeń:
Brak modyfikacji może spowodować nieprawidłowe działanie aplikacji webLSP/webDFE.
Poniżej instrukcja zmian jakie należy wykonać.
Należy dodać:
1. W pliku httpd.conf < \Apache22\conf\httpd.conf>
Header set X-XSS-Protection „1;mode=block”
Header set Content-Security-Policy „default-src 'self' 'unsafe-inline' 'unsafe-eval'”
Header set X-Content-Type-Options „nosniff”
Header set Strict-Transport-Security „max-age=31536000; includeSubdomains”
Header set X-Powered-By „ADS-Soft”
Header set X-Frame-Options „SAMEORIGIN”
TraceEnable off
<Location />
<LimitExcept POST GET>
deny from all
</LimitExcept>
</Location>
2. W pliku httpd-ssl.conf < \Apache22\conf\extra\httpd-ssl.conf>
Na przykład:
# SSL Engine Switch:
# Enable/Disable SSL for this virtual host.
SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
Header set X-XSS-Protection „1;mode=block”
Header set Content-Security-Policy „default-src 'self' 'unsafe-inline' 'unsafe-eval'”
Header set X-Content-Type-Options „nosniff”
Header set Strict-Transport-Security „max-age=31536000; includeSubdomains”
Header set X-Powered-By „ADS-Soft”
Header set X-Frame-Options „SAMEORIGIN”
TraceEnable off
<Location />
<LimitExcept POST GET>
deny from all
</LimitExcept>
</Location>
3. W przypadku udostępniania aplikacji do sieci zewnętrznej (Internet) poprzez Apache zalecamy stosowanie certyfikatu kwalifikowanego do uruchomienia protokołu SSL.
Informacje odnoście certyfikatu znajdą Państwo w Powszechnym Centrum Certyfikacji Certum.
W tym miejscu zachęcamy Państwa również do lektury artykułu o certyfikatach SSL opublikowanym w niniejszym numerze biuletynu.
Prosimy o wprowadzenie zmian z punktów 1 i 2 lub ewentualny kontakt z Serwisem w celu ich wprowadzania. Zmiany wymagają restartu serwera Apache, co chwilowo uniemożliwi dostęp do aplikacji.