- 12 Apr 2023
- 2 Minuten te lezen
HTTP-beveiligingsinstellingen
- Bijgewerkt op 12 Apr 2023
- 2 Minuten te lezen
HTTPS versleutelt de inloggegevens van de gebruiker, dus het is moeilijk om de gebruikersnaam en het wachtwoord van een gebruiker op het netwerk te detecteren. Je moet HTTPS inschakelen op je server voor je deze instelling inschakelt, anders wordt je site geblokkeerd.
Elke webserver heeft een andere methode om HTTPS in te schakelen, dus je moet de documentatie van je webserver controleren.
De HTTP-beveiligingspagina heeft de volgende opties:
Instelling | Omschrijving | Notities |
---|---|---|
Enkel secure cookies | Als de server alleen HTTPS-verbindingen accepteert, wordt aanbevolen om het verzenden van beveiligde cookies in te schakelen. Indien ingeschakeld, zorg er dan voor dat de webserver http://, niet accepteert of stel een permanente verwijzing in naar https:// adres. Wanneer wwwroot-adres niet begint met https://, wordt deze instelling automatisch uitgeschakeld. | - |
Enkel http cookies | Schakelt de PHP 5.2.0-functie in. Browsers krijgen de opdracht om cookies alleen te verzenden met echte http-verzoeken. Cookies mogen niet toegankelijk zijn via scripttalen. Dit wordt niet in alle browsers ondersteund en is mogelijk niet volledig compatibel met de huidige code. Dit helpt om sommige types XSS-aanvallen te voorkomen. | - |
Strikte transportbeveiliging | Indien ingeschakeld, krijgen browsers de instructie om altijd het https://-protocol te gebruiken bij het openen van de server, en gebruikers kunnen SSL-onderhandelingswaarschuwingen niet negeren. | Let op dat indien ingeschakeld, browsers deze instelling zes maanden lang onthouden en toegang via http:// verhinderen, zelfs als deze instelling later is uitgeschakeld. |
Veilige verwijzers | Indien ingeschakeld, krijgen browsers de instructie om altijd het https://-protocol te gebruiken bij het openen van de server, en gebruikers kunnen SSL-onderhandelingswaarschuwingen niet negeren. | Let op dat indien ingeschakeld, browsers deze instelling zes maanden lang onthouden en toegang via http://, verhinderen, zelfs als deze instelling later is uitgeschakeld. Strikte transportbeveiliging. |
Frame-embedding toestaan | Insluiten van deze site in frames toestaan op externe sites. Het inschakelen van deze functie wordt om veiligheidsredenen afgeraden. | - |
Toegestane cross-domein | Insluiten van deze site in frames toestaan op externe sites. Het inschakelen van deze functie wordt om veiligheidsredenen afgeraden. De beschikbare opties zijn:
| - |
Wachtwoord aanvullen uitschakelen op loginformulier | Indien ingesteld op geen enkele browser, worden browsers geïnstrueerd om te voorkomen dat inhoud van deze server in externe Flash- of PDF-bestanden wordt ingebed. Indien ingesteld op master-only kunnen de regels worden gedefinieerd in het bestand main crossdomain.xml. | - |
cURL lijst voor geblokkeerde hosts | Zet elk onderdeel op een nieuwe regel. Geldige onderdelen zijn ofwel:
Lege regels zijn niet toegestaan. | - |
cURL toegestane poortenlijst | Lijst met poortnummers waarnaar cURL kan verbinden. Enkel natuurlijke getallen zijn zijn geldig. Zet elk onderdeel op een nieuwe regel. Indien je dit leeg laat, zijn alle getallen toegestaan. Indien ingesteld moeten in nagenoeg alle gevallen zowel 443 als 80 opgegeven worden als standaard poorten voor HTTPS en HTTP. | - |
© Copyright 2024 Totara Learning Solutions. All rights reserved. Some content originally obtained via GPLv3 license and continues to be available under GPLv3. All other content is the sole copyright of Totara Learning Solutions.