PowerStore: Schwachstelle gemeldet, dass HSTS fehlt und nicht erzwungen wird
Zusammenfassung: Vulnerability Scanner meldet, dass HTTP Strict Transport Security (HSTS) fehlt oder HTTP-Sicherheitsheader nicht erkannt wurde
Dieser Artikel gilt für
Dieser Artikel gilt nicht für
Dieser Artikel ist nicht an ein bestimmtes Produkt gebunden.
In diesem Artikel werden nicht alle Produktversionen aufgeführt.
Symptome
Diese Sicherheitslückenwarnmeldung wurde zu PowerStore in Qualys- und Nessus-Scannern gemeldet: Qualys Identifier (QID) 11827 "HTTP Security Header Not Detected"Nessus 84502 "The remote web server is not enforcing HSTS."Nessus 142960 "HSTS Missing From HTTPS Server (RFC 6797)"
Ursache
HTTP Strict Transport Security (HSTS) ist ein optionaler Antwortheader, der auf dem Server so konfiguriert werden kann, dass der Browser angewiesen wird, nur über HTTPS zu kommunizieren. Das Fehlen von HSTS ermöglicht Downgrade-Angriffe, SSL-Stripping-Man-in-the-Middle-Angriffe und schwächt den Schutz vor Cookie-Hijacking bei der Verwendung von HTTP.
Lösung
Wenn Sie nur HTTPS verwenden, gibt es keine Umleitung und daher ist kein HSTS erforderlich. Dies ist ein falsch positives Ergebnis und gilt nicht für PowerStore, wenn die HTTP-zu-HTTPS-Umleitung deaktiviert ist. Dies ist die empfohlene Konfiguration gemäß unserem Dokument zu Best Practices für die Sicherheit.
Die HTTP-zu-HTTPS-Umleitung ist standardmäßig deaktiviert:
Seite 63 des PowerStore-Sicherheitskonfigurationsleitfadens
Bei deaktivierter HTTPS-Umleitung wird HTTPS nur verfügbar gemacht, HTTP (Port 80) wird blockiert.
HTTP wird aus Sicherheitsgründen nicht unterstützt. Durch Aktivieren der Funktion "HTTP-Redirect zu HTTPS" können Nutzer, die zu PowerStore Manager wechseln, automatisch von HTTP umgeleitet werden: Zu https://. Das Aktivieren der HTTP-Umleitung ist jedoch weniger sicher als die Eingabe der vollständigen https:// Adresse bei der Anmeldung bei PowerStore Manager.
Das Aktivieren oder Deaktivieren der HTTP-Redirect-Funktion zu HTTPS ist ein clusterweiter Vorgang.
Die HTTP-zu-HTTPS-Umleitung ist standardmäßig deaktiviert:
Seite 63 des PowerStore-Sicherheitskonfigurationsleitfadens
Bei deaktivierter HTTPS-Umleitung wird HTTPS nur verfügbar gemacht, HTTP (Port 80) wird blockiert.
HTTP wird aus Sicherheitsgründen nicht unterstützt. Durch Aktivieren der Funktion "HTTP-Redirect zu HTTPS" können Nutzer, die zu PowerStore Manager wechseln, automatisch von HTTP umgeleitet werden: Zu https://. Das Aktivieren der HTTP-Umleitung ist jedoch weniger sicher als die Eingabe der vollständigen https:// Adresse bei der Anmeldung bei PowerStore Manager.
Das Aktivieren oder Deaktivieren der HTTP-Redirect-Funktion zu HTTPS ist ein clusterweiter Vorgang.
Weitere Informationen
Betroffene Produkte
PowerStore 1000X, PowerStore 1000T, PowerStore 1200T, PowerStore 3000X, PowerStore 3000T, PowerStore 3200T, PowerStore 5000X, PowerStore 5000T, PowerStore 500T, PowerStore 5200TProdukte
PowerStore 7000X, PowerStore 7000T, PowerStore 9000X, PowerStore 9000T, PowerStore 9200TArtikeleigenschaften
Artikelnummer: 000222071
Artikeltyp: Solution
Zuletzt geändert: 25 Juli 2025
Version: 3
Antworten auf Ihre Fragen erhalten Sie von anderen Dell NutzerInnen
Support Services
Prüfen Sie, ob Ihr Gerät durch Support Services abgedeckt ist.