Dotyczy wersji 2020.1.3.321 autor: Tomasz Słuszniak
Wprowadzenie
Wraz z wersją 2020.1.3.321 w WEBCON BPS pojawiła się możliwość definiowana dodatkowych nagłówków http zwracanych w odpowiedziach z serwera www.
Funkcjonalność tę możemy wykorzystać np. do zwiększenia poziomu bezpieczeństwa Portalu WEBCON BPS. Ma to szczególne znaczenie w przypadku, kiedy Portal BPS dostępny jest publicznie w sieci Internet.
Definiowanie nagłówków odbywa się w WEBCON BPS Designer Studio w Konfiguracji Systemu -> Parametry globalne:
Przykład
Do weryfikacji poziomu bezpieczeństwa naszego Portalu BPS skorzystamy ze strony https://securityheaders.com/.
W przypadku, gdy Portal BPS oraz IIS nie mają zdefiniowanych żadnych nagłówków dotyczących bezpieczeństwa, otrzymamy ocenę „F”.
Natomiast, w prosty i szybki sposób możemy osiągnąć ocenę „A” lub nawet „A+”.
W celu poprawy bezpieczeństwa skupimy się na 4 podstawowych nagłówkach:
- Referrer-Policy
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Referrer-Policy
- Strict-Transport-Security
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security
- X-Content-Type-Options
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Content-Type-Options
- Content-Security-Policy
https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP
Zachęcamy do lektury opisu działania każdego z nagłówków.
Wartości nagłówków użytych w przykładzie:
Nazwa | Wartość |
Referrer-Policy | strict-origin-when-cross-origin |
Strict-Transport-Security | max-age=31536000; includeSubDomains |
X-Content-Type-Options | nosniff |
Content-Security-Policy | default-src 'self'; object-src 'none'; script-src 'self' 'unsafe-inline' 'unsafe-eval' maps.googleapis.com; style-src 'self' 'unsafe-inline' fonts.googleapis.com; img-src data: 'self' maps.gstatic.com *.googleapis.com *.ggpht; font-src 'self' fonts.gstatic.com; frame-src 'self' *.powerbi.com; frame-ancestors 'self' https://*.sharepoint.com https://*.office.com teams.microsoft.com *.teams.microsoft.com *.skype.com; |
Aby dodać nagłówek w BPS, wystarczy kliknąć „+” w obszarze nagłówków i wpisać nazwę oraz wartość dla każdego z nich.
Po uzupełnieniu listy nagłówków wystarczy zapisać zmiany przyciskiem „Save” u góry ekranu. Zmiany będą widoczne od razu.
Tak zdefiniowane nagłówki dotyczące bezpieczeństwa skutkują końcową oceną „A”.
Uwaga:
Przedstawiony przykład jest jedynie prezentacją możliwości nowej funkcjonalności WEBCON BPS. Konfiguracja nie jest zaleceniem producenta, nie jest też wzorem dla stosowanych konfiguracji. Konfigurację należy dostosować indywidualnie do potrzeb oraz zaleceń administratorów.