CloudLink: Etä-HTTPS-palvelin ei pakota HTTP Strict Transport Security (HSTS) -suojausta

Samenvatting: CloudLink: Tietoturvatarkistusraportit"HTTPS-etäpalvelin ei pakota HTTP Strict Transport Security (HSTS) -suojausta"

Dit artikel is van toepassing op Dit artikel is niet van toepassing op Dit artikel is niet gebonden aan een specifiek product. Niet alle productversies worden in dit artikel vermeld.
Bekijk andere hulpbronnen

Symptomen

CloudLink: Tietoturvatarkistusraportit:

The remote HTTPS server is not enforcing HTTP Strict Transport Security (HSTS)
The remote HTTPS server does not send the HTTP "Strict-Transport-Security" header

HSTS on valinnainen vastausotsikko, joka voidaan määrittää palvelimessa ohjaamaan selainta kommunikoimaan vain HTTPS:n avulla. HSTS: n puute sallii downgrade-hyökkäykset, SSL-strippaavat man-in-the-middle-hyökkäykset ja heikentävät evästeiden kaappaussuojauksia.

Oorzaak

Tämä näyttää olevan tietoturvatyökalun ilmoittama väärä hälytys.

HSTS on oletusarvoisesti käytössä CloudLinkissä. 
Vahvista asia tarkastelemalla CloudLinkin HTTP-otsikoita Chromessa seuraavasti: 
- Navigate to the Cloudlink UI login page.
- Right click on white empty space and select 'Inspect'.
- Select the 'Network' tab.
- Select one of the Cloudlink HTTP requests on the left panel.
- Match the response headers you're seeing to what we expect to see from the KB article

Oplossing

HTTP-vastauksessa on kaikki otsikot, ja sen määrittää oletusarvoisesti https://docs.spring.io/autorepo/docs/spring-security/4.2.3.RELEASE/reference/html/headers.html

            HTTP/1.1 200 OK
            Date: Fri, 22 May 2020 11:51:57 GMT
            Cache-Control: no-cache, no-store, max-age=0, must-revalidate
            Pragma: no-cache
            Expires: Thu, 01 Jan 1970 00:00:00 GMT
            Strict-Transport-Security: max-age=31536000 ; includeSubDomains
            X-XSS-Protection: 1; mode=block
            X-Frame-Options: SAMEORIGIN
            X-Content-Type-Options: nosniff
            Content-Type: text/html
            Last-Modified: Tue, 10 Sep 2019 17:33:22 GMT
            Accept-Ranges: bytes
            Vary: Accept-Encoding, User-Agent
            ETag: W/"C/NxCAz49KYC/NwZBDEXzM"
            Content-Length: 1349

Getroffen producten

CloudLink SecureVM, CloudLink
Artikeleigenschappen
Artikelnummer: 000181096
Artikeltype: Solution
Laatst aangepast: 09 feb. 2026
Versie:  5
Vind antwoorden op uw vragen via andere Dell gebruikers
Support Services
Controleer of uw apparaat wordt gedekt door Support Services.