HTTP Strict Transport Security (HSTS) ヘッダーが使用されていません

問題

  • HSTS ヘッダーは、中間者攻撃を完全に防御することはできません。 ただし、攻撃者がアプリケーションへの暗号化された接続を確立し、暗号化されていない不正なサービスをユーザーに提示する攻撃に対する防御には役立ちます。 これは、HSTS ヘッダーが存在することで、ユーザーが以前に外部からの干渉を受けずにサイトにアクセスしたことがある場合、ユーザーのブラウザーが暗号化されていないサービスを使用しないことが保証されるためです。

Environment

  • Liferay DXP 7.2

解決策

  • この要件を達成するのに役立つすぐに使える機能はありません。 ただし、同じ機能のリクエストがあります。 LPS-39213 を参照してください。

    上記の LPS を実行すると、これは適切な Apache 構成またはその他のフロントエンド Web サーバーを介して達成可能であることが言及されています。 ただし、LPS に投票することはできるので、この機能が実装されているかどうかはわかります。

    上記に加えて、 LPS-39213、同じことを達成するために言及されたプラグインがあります。 そのプラグインも参照できます。 以下のリンクを見つけてください:
    https://web.liferay.com/marketplace/-/mp/application/27551660

    注意してください:
    1) 上記のプラグインは、Liferay バージョン 6.2 について言及されています。 . ただし、LPS に記載されているソース コードを参照して、Liferay DXP 7.2 用に同じものを作成できます。

    また、サードパーティのような Web サーバーでは、プラグインの作成は Liferay サポートの範囲を超えています。 ただし、開発に関するアイデアの提供は グローバル サービス チームの範囲内であるため、同様のサポートが必要な場合は、グローバル サービス チームに連絡することができます。 このチームには営業担当者から連絡できます。このサービスを利用したい場合は、営業チームに連絡して詳細を確認することをお勧めします。
この記事は役に立ちましたか?
0人中0人がこの記事が役に立ったと言っています