| ... |
... |
@@ -1,22 +1,26 @@ |
|
1 |
+{{content/}} |
|
2 |
+ |
|
3 |
+Für einen möglichst sicheren Betrieb von {{formcycle/}} sind je nach Systemumgebung und Anwendungsfällen verschiedene Konfigurationen möglich bzw. empfohlen. Hierbei ist zu unterscheiden zwischen der Konfiguration der Umgebung wie z.B. des Tomcat-Servers, der ggf. vorgeschaltenen Web-Server, Proxies oder Load-Balancer und der Konfiguration von {{formcycle/}} selbst. |
|
4 |
+ |
| 1 |
1 |
== Konfigurationen der Umgebung == |
| 2 |
2 |
|
| 3 |
3 |
=== Betrieb über HTTPS === |
| 4 |
4 |
|
| 5 |
|
-FORMCYCLE sollte, wenn möglich gerade im Internet nur über HTTPS bereitgestellt werden. Dies erhöht die Sicherheit der abgesendeten Daten, sodass diese über Netzwerk-Sniffing nicht mitgelesen oder per Man-in-the-middle manipuliert werden können. Sollte es möglich sein sollte der http-Connector komplett deaktiviert werden. |
|
9 |
+{{formcycle/}} sollte, wenn möglich gerade im Internet nur über HTTPS bereitgestellt werden. Dies erhöht die Sicherheit der abgesendeten Daten, sodass diese innerhalb des Netzwerks nicht mitgelesen oder per Man-in-the-middle manipuliert werden können. Sollte es möglich sein sollte der HTTP-Connector komplett deaktiviert werden. |
| 6 |
6 |
|
| 7 |
|
-Weitere Details unter [[Bereitstellung über HTTPS>>doc:Formcycle.SystemSettings.TomcatSettings.Bereitstellung über HTTPS.WebHome||target="_blank"]] |
|
11 |
+Konfiguration von HTTPS innerhalb des Tomcats: [[hier>>doc:Formcycle.SystemSettings.TomcatSettings.Bereitstellung über HTTPS.WebHome||target="_blank"]] |
| 8 |
8 |
|
| 9 |
9 |
=== Session-Management === |
| 10 |
10 |
|
| 11 |
11 |
==== Tracking-Mode ==== |
| 12 |
12 |
|
| 13 |
|
-Standardmäßig wird FORMCYCLE in einer Konfiguration ausgeliefert in der sowohl die Formulare als auch die Verwaltungsoberfläche mit und ohne akzeptierte Cookies betrieben werden kann. Hierfür ist durch die Anwendung keine Einschränkung des Tracking-modes konfiguriert. Sollten keine Cookies akzeptiert werden, so wird die Sitzungs-ID durch den Servlet-Container (z.B. Tomcat) in die URL kodiert. Ist die Benutzung von Cookies in allen gegebenen Anwendungsfällen und Umgebungen möglich, sollte dieses Verhalten abgeändert werden. Hintergrund ist, dass durch eine unachtsam weitergegebene URL mit Sitzungs-ID sonst sogenanntes Session-Hijacking möglich ist und dadurch ein Angreifer unberechtigte Zugriffe erlangen könnte. |
|
17 |
+Standardmäßig wird {{formcycle/}} in einer Konfiguration ausgeliefert in der sowohl die Formulare als auch die Verwaltungsoberfläche mit und ohne akzeptierte Cookies betrieben werden kann. Hierfür ist durch die Anwendung keine Einschränkung des sogenannten Tracking-modes konfiguriert. Sollten keine Cookies akzeptiert werden, so wird die Sitzungs-ID durch den Server (z.B. Tomcat) in die URL geschrieben. Ist die Benutzung von Cookies in allen gegebenen Anwendungsfällen und Umgebungen möglich, sollte dieses Verhalten hierfür abgeändert werden. Hintergrund ist, dass durch eine unachtsam weitergegebene URL mit Sitzungs-ID sonst sogenanntes Session-Hijacking möglich ist und dadurch ein Angreifer unberechtigte Zugriffe erlangen könnte. |
| 14 |
14 |
|
| 15 |
|
-Weitere Details unter [[Session-Tracking>>doc:Formcycle.SystemSettings.TomcatSettings.WebHome||anchor="HSession-Tracking" rel="noopener noreferrer" target="_blank"]] |
|
19 |
+Konfiguration des Tracking-Modes: [[hier>>doc:Formcycle.SystemSettings.TomcatSettings.WebHome||anchor="HSession-Tracking" rel="noopener noreferrer" target="_blank"]] |
| 16 |
16 |
|
| 17 |
17 |
==== Cookie-Konfiguration ==== |
| 18 |
18 |
|
| 19 |
|
-Sollte FORMCYCLE ausschließlich über HTTPS betrieben werden ist es empfohlen die entsprechende Einstellung am Cookie zu hinterlegen. Diese verhindert, dass die Cookies bei Aufrufen über HTTP gesetzt und benutzt werden. Sollte FORMCYCLE dennoch über HTTP aufgerufen werden, so greift der ggf. noch vorhandene Fallback mit in der URL kodierten Session-ID. |
|
23 |
+Sollte {{formcycle/}} ausschließlich über HTTPS betrieben werden ist es empfohlen die entsprechende Einstellung für Cookies zu hinterlegen. Diese verhindert, dass die Cookies bei Aufrufen über HTTP gesetzt und benutzt werden. Sollte {{formcycle/}} dennoch über HTTP aufgerufen werden, so greift der ggf. noch vorhandene Fallback mit in der URL kodierten Session-ID. |
| 20 |
20 |
|
| 21 |
21 |
Je nach Umgebung und Anwendungsfall ist es möglich die maximale Dauer einer Sitzung zu limitieren. Dies bezieht sich hierbei sowohl auf die Sitzung innerhalb des Formulars, als auch die der Verwaltungsoberfläche. Sobald keine Kommunikation zwischen Browser und Server für den gegebenen Zeitraum mehr stattfindet wird die Sitzung invalidiert. Um dies beim Ausfüllen von großen Formularen oder dem Arbeiten innerhalb der Verwaltungsoberfläche zu umgehen, ist hier ein Keep-Alive-Mechanismus implementiert welcher in Regelmäßigen Abständen ein Lebenszeichen an den Server übermittelt. Sollte nun das Fenster oder der Browser geschlossen werden oder durch z.B. Sperren des Endgerätes nicht mehr aktiv sein, fällt dieser Mechanismus weg und der Benutzer wird nach Ablauf der konfigurierten Zeit abgemeldet. |
| 22 |
22 |
|
| ... |
... |
@@ -43,17 +43,17 @@ |
| 43 |
43 |
|
| 44 |
44 |
=== Verwendung eines Viren-Scanners === |
| 45 |
45 |
|
| 46 |
|
-Um das Entgegennehmen von schädlichen Dateien oder Eingaben zu verhindern ist es empfohlen auf dem entsprechenden FORMCYCLE-Server (Master- und/oder Frontend) einen Virenscanner zu betreiben. Dieser kann auf das FORMCYCLE-Datenverzeichnis konfiguriert werden und sollte alle schädlichen Dateien löschen. FORMCYCLE erkennt anschließend, dass eine eigentlich abgesendete Datei entfernt wurde bzw. leer ist und vermerkt dies innerhalb des Vorgangs in der Übersicht der Uploads. |
|
50 |
+Um das Entgegennehmen von schädlichen Dateien oder Eingaben zu verhindern ist es empfohlen auf dem entsprechenden {{formcycle/}}-Server (Master- und/oder Frontend) einen Virenscanner zu betreiben. Dieser kann auf das {{formcycle/}}-Datenverzeichnis konfiguriert werden und sollte alle schädlichen Dateien löschen. {{formcycle/}} erkennt anschließend, dass eine eigentlich abgesendete Datei entfernt wurde bzw. leer ist und vermerkt dies innerhalb des Vorgangs in der Übersicht der Uploads. |
| 47 |
47 |
|
| 48 |
|
-== Konfigurationen innerhalb von FORMCYCLE == |
|
52 |
+== Konfigurationen innerhalb von {{formcycle/}} == |
| 49 |
49 |
|
| 50 |
50 |
=== Verschlüsselung von Formular-Daten/Datenbank === |
| 51 |
51 |
|
| 52 |
|
-Es ist empfehlenswert bei der FORMCYCLE-seitigen Verschlüsselung von Daten die Formular-Daten mit zu aktivieren. Dies bringt zwar kaum messbare Performance-Einbußen, verhindert jedoch, dass die Formular-Daten während der Kommunikation mit der Datenbank mitgelesen werden können und dass die Daten ohne Kenntnis des Algorithmuses und Passworts aus der Datenbank selbst ausgelesen werden können. Auch erhöht die Verschlüsselung der kompletten Datenbank durch das verwendete DBMS die Sicherheit im selben Angriffs-Szenario. |
|
56 |
+Es ist empfehlenswert bei der {{formcycle/}}-seitigen Verschlüsselung von Daten die Formular-Daten mit zu aktivieren. Dies bringt zwar kaum messbare Performance-Einbußen, verhindert jedoch, dass die Formular-Daten während der Kommunikation mit der Datenbank mitgelesen werden können und dass die Daten ohne Kenntnis des Algorithmuses und Passworts aus der Datenbank selbst ausgelesen werden können. Auch erhöht die Verschlüsselung der kompletten Datenbank durch das verwendete DBMS die Sicherheit im selben Angriffs-Szenario. |
| 53 |
53 |
|
| 54 |
54 |
=== Verschlüsselte Kommunikation mit der Datenbank === |
| 55 |
55 |
|
| 56 |
|
-Sollte dies in der bestehenden Umgebung möglich sein oder diese nicht komplett abgesichert sein, ist es empfohlen die Kommunikation mit der Datenbank per SSL zu verschlüsseln. Je nach Datenbankhersteller ist hierfür eine andere Datenbank-URL oder andere Parameter notwendig. Dies verhindert, dass Angreifer mit Zugriff auf die interne Netzwerkstruktur die Kommunikation zwischen FORMCYCLE und der Datenbank mitlesen könnten. |
|
60 |
+Sollte dies in der bestehenden Umgebung möglich sein oder diese nicht komplett abgesichert sein, ist es empfohlen die Kommunikation mit der Datenbank per SSL zu verschlüsseln. Je nach Datenbankhersteller ist hierfür eine andere Datenbank-URL oder andere Parameter notwendig. Dies verhindert, dass Angreifer mit Zugriff auf die interne Netzwerkstruktur die Kommunikation zwischen {{formcycle/}} und der Datenbank mitlesen könnten. |
| 57 |
57 |
|
| 58 |
58 |
=== Verschlüsselte Kommunikation zwischen Master- und Frontend-Server === |
| 59 |
59 |
|
| ... |
... |
@@ -67,13 +67,13 @@ |
| 67 |
67 |
|
| 68 |
68 |
=== Passwortrichtlinien === |
| 69 |
69 |
|
| 70 |
|
-Um einen möglichst sicheren Login für Benutzer zu gewährleisten ist es empfohlen entweder bereits bestehende System-Umgebungen mit entsprechenden Richtlinien (z.B. LDAP) zu verwenden oder für den eigenen Anwendungsfall möglichst sichere Passwort-Richtlinien für Benutzer innerhalb von FORMCYCLE festzulegen. |
|
74 |
+Um einen möglichst sicheren Login für Benutzer zu gewährleisten ist es empfohlen entweder bereits bestehende System-Umgebungen mit entsprechenden Richtlinien (z.B. LDAP) zu verwenden oder für den eigenen Anwendungsfall möglichst sichere Passwort-Richtlinien für Benutzer innerhalb von {{formcycle/}} festzulegen. |
| 71 |
71 |
|
| 72 |
72 |
Weitere Details unter [[Allgemein>>doc:Formcycle.SystemSettings.UserInterface.General.WebHome||anchor="HPasswort-Richtlinien" target="_blank"]] |
| 73 |
73 |
|
| 74 |
74 |
=== HTTP Strict Transport Security (HSTS) === |
| 75 |
75 |
|
| 76 |
|
-Bei HSTS handelt es sich um einen Netzwerk-Header welcher gesetzt werden kann um die Möglichkeit eines Downgrads auf http zu verringern. Hierbei wird an den Browser der entsprechende Header inkl. Gültigkeitsdauer und der Information ob dieser auch für Subdomains gilt übertragen. Der Browser wird nun bis zum Ablauf der Gültigkeit und ggf. für alle Sub-Domains keinerlei Anfragen über eine unverschlüsselte http-Verbindung aufbauen bzw. gestatten. Sollten Sie FORMCYCLE ausschließlich über HTTPS betreiben ist es empfohlen diese Option zu aktivieren und eine möglichst lange Gültigkeit zu wählen. Auch sollte diese Option für Subdomains benutzt werden. Zu beachten ist jedoch, dass ein gewollter Umstieg auf unverschlüsseltes http bei Benutzern auf Grund dieses Header und dessen Gültigkeit zu Problemen kommen kann. |
|
80 |
+Bei HSTS handelt es sich um einen Netzwerk-Header welcher gesetzt werden kann um die Möglichkeit eines Downgrads auf http zu verringern. Hierbei wird an den Browser der entsprechende Header inkl. Gültigkeitsdauer und der Information ob dieser auch für Subdomains gilt übertragen. Der Browser wird nun bis zum Ablauf der Gültigkeit und ggf. für alle Sub-Domains keinerlei Anfragen über eine unverschlüsselte http-Verbindung aufbauen bzw. gestatten. Sollten Sie {{formcycle/}} ausschließlich über HTTPS betreiben ist es empfohlen diese Option zu aktivieren und eine möglichst lange Gültigkeit zu wählen. Auch sollte diese Option für Subdomains benutzt werden. Zu beachten ist jedoch, dass ein gewollter Umstieg auf unverschlüsseltes http bei Benutzern auf Grund dieses Header und dessen Gültigkeit zu Problemen kommen kann. |
| 77 |
77 |
|
| 78 |
78 |
Weiter Details unter [[Allgemein>>doc:Formcycle.SystemSettings.UserInterface.General.WebHome||anchor="HHTTPStrictTransportSecurity28HSTS29" target="_blank"]] |
| 79 |
79 |
|
| ... |
... |
@@ -81,7 +81,7 @@ |
| 81 |
81 |
|
| 82 |
82 |
Die Referrer-Policy gibt an ob und wie die Information der ursprünglich aufgerufenen URL an Unterseiten oder Folgeseiten weitergegeben werden soll. Die bedeutet konkret, dass zum Beispiel die komplette ursprüngliche URL oder auch nur die Domäne (origin genannt) mitgeteilt werden soll. Da die URLs ggf. sicherheitsrelevante Informationen enthalten können, ist es empfohlen die Einstellung so restriktiv wie möglich zu wählen. Der Standardwert „strict-origin-when-cross-origin“ bietet meist ausreichenden Schutz ohne ggf. nötige Funktionalität zu beeinflussen. Er gibt an, dass die alle Informationen innerhalb der selben Domäne komplett geteilt werden und Domän-übergreifend nur die Name der Domäne (der origin) übermittelt wird. Dies passiert wiederrum nur wenn sich das Sicherheits-Level der Übertragung (HTTPS oder http) nicht unterscheidet. |
| 83 |
83 |
|
| 84 |
|
-Weitere Details unter [[Allgemein>>doc:Formcycle.SystemSettings.UserInterface.General.WebHome||anchor="HReferrer-Policy" target="_blank"]] und [[Mozilla>>url:https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Referrer-Policy||rel=" noopener noreferrer" target="_blank"]] |
|
88 |
+Weitere Details unter [[Allgemein>>doc:Formcycle.SystemSettings.UserInterface.General.WebHome||anchor="HReferrer-Policy" target="_blank"]] und [[Mozilla>>url:https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Referrer-Policy||rel="noopener noreferrer" target="_blank"]] |
| 85 |
85 |
|
| 86 |
86 |
=== Systeminterne Beschränkungen === |
| 87 |
87 |
|
| ... |
... |
@@ -91,11 +91,11 @@ |
| 91 |
91 |
|
| 92 |
92 |
Die dritte Einstellung zum Festlegen der Dateigröße ab welcher Uploads oder auch Formular-Eingaben auf die Festplatte geschrieben werden sollen erlaubt gerade im Zusammenspiel mit einem Viren-Scanner eine Feinjustierung der zu behandelnden Daten. Ein Wert größer 0 führ dazu, dass Formulardaten kleiner als dieser Wert nur innerhalb des Arbeitsspeichers behandelt werden. Dies erhöht tendenziell die Performance beim Absenden des Formulars, erhöht jedoch nachvollziehbarerweise die Auslastung des Arbeitsspeichers. Auch können diese Daten nicht durch einen Datei-basierten Viren-Scanner behandelt werden. Sollte ein Viren-Scanner zum Einsatz kommen oder der zur Verfügung stehende Arbeitsspeicher gering ausfallen, ist es empfohlen diesen Wert auf 0 zu lassen. |
| 93 |
93 |
|
| 94 |
|
-Weitere Details unter [[Allgemein>>https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Referrer-Policy||anchor="HSysteminterneBeschrE4nkungen" target="_blank"]] |
|
98 |
+Weitere Details unter [[Allgemein>>doc:Formcycle.SystemSettings.UserInterface.General.WebHome||anchor="HSysteminterneBeschrE4nkungen" rel="noopener noreferrer" target="_blank"]] |
| 95 |
95 |
|
| 96 |
96 |
=== Automatisches Löschen von Protokolleinträgen === |
| 97 |
97 |
|
| 98 |
|
-Da innerhalb des fachlichen Protokolls von FORMCYCLE Fehler während der Verarbeitung protokolliert werden kann es hier dazu kommen, dass z.B. Fehler-Einträge von angebundenen Drittsystemen erfasst werden. Da FORMCYCLE nicht die Kontrolle über deren Inhalt hat und diese aber für die Fehlerbehebung erfasst, ist es empfohlen über die entsprechende Konfiguration das Protokoll regelmäßig zu bereinigen. Auch verhindert dies, dass die Datenbank mit alten, nicht mehr relevanten Einträgen gefüllt wird und je nach System-Limitierung früher oder später voll läuft. |
|
102 |
+Da innerhalb des fachlichen Protokolls von {{formcycle/}} Fehler während der Verarbeitung protokolliert werden kann es hier dazu kommen, dass z.B. Fehler-Einträge von angebundenen Drittsystemen erfasst werden. Da {{formcycle/}} nicht die Kontrolle über deren Inhalt hat und diese aber für die Fehlerbehebung erfasst, ist es empfohlen über die entsprechende Konfiguration das Protokoll regelmäßig zu bereinigen. Auch verhindert dies, dass die Datenbank mit alten, nicht mehr relevanten Einträgen gefüllt wird und je nach System-Limitierung früher oder später voll läuft. |
| 99 |
99 |
|
| 100 |
100 |
Weitere Details unter [[Allgemein>>doc:Formcycle.SystemSettings.UserInterface.General.WebHome||anchor="HAutomatischesLF6schenvonProtokolleintrE4gen" target="_blank"]] |
| 101 |
101 |
|
