... |
... |
@@ -21,9 +21,9 @@ |
21 |
21 |
HTTP Strict Transport Security (HSTS) |
22 |
22 |
{{/lightbox}} |
23 |
23 |
|
24 |
|
-HTTP Strict Transport Security (HSTS) ist ein Sicherheitsmechanismus für HTTPS-Verbindungen, der sowohl vor Aushebelung der Verbindungsverschlüsselung und vor Session Hijacking schützen soll. Hierfür wird dem Browser durch diesen Header mitgeteilt, dass er für die gegebene Gültigkeit und ggf. für alle Subdomains keine unsicheren HTTP-Verbindungen mehr zulassen darf. Sollte {{formcycle/}} ausschließlich über HTTPS betreiben werden ist das Aktivieren dieser Funktion durch das Setzten einer Gültigkeitsdatuer größer als 0 empfohlen. Für diese sollte mindestens ein Wert von 10368000 Sekunden (120 Tage), am besten jedoch von 31536000 Sekunden (einem Jahr) gewählt werden. Ebenso ist das Einbeziehen von Subdomains in den meisten Fällen problemlos möglich und ratsam. |
|
24 |
+HTTP Strict Transport Security (HSTS) ist ein Sicherheitsmechanismus für HTTPS-Verbindungen, der sowohl vor Aushebelung der Verbindungsverschlüsselung durch eine Downgrade-Attacke als auch vor Session Hijacking schützen soll. Hierfür wird dem Browser durch diesen Header mitgeteilt, dass er für die gegebene Gültigkeit und ggf. für alle Subdomains keine unsichere HTTP-Verbindung mehr benutzen darf. Diese Option ist für den exklusiven Betrieb über HTTPS empfohlen. Für die Gültigkeit wird mindestens ein Wert von 10368000 Sekunden (120 Tage), am besten jedoch von 31536000 Sekunden (einem Jahr) sowie das Einbeziehen von Subdomains empfohlen. |
25 |
25 |
|
26 |
|
-Für das Deaktivieren dieser Funktion für z.B. den Betrieb über HTTP wählen Sie eine Dauer von 0. |
|
26 |
+Für das Deaktivieren dieses Headers für z.B. den Betrieb über HTTP wählen Sie eine Dauer von 0. |
27 |
27 |
|
28 |
28 |
== Passwort-Richtlinien == |
29 |
29 |
|