| ... |
... |
@@ -11,7 +11,7 @@ |
| 11 |
11 |
|
| 12 |
12 |
=== HTTP Strict Transport Security (HSTS) === |
| 13 |
13 |
|
| 14 |
|
-{{figure image="system_general_hsts_de.png" clear="h3" width="600"}} |
|
14 |
+{{figure image="system_general_hsts_de.png" clear="h3"}} |
| 15 |
15 |
HSTS kann aktiviert werden, um vor dem Aushebeln der Verbindungsverschlüsselung und vor Session Hijacking zu schützen |
| 16 |
16 |
{{/figure}} |
| 17 |
17 |
|
| ... |
... |
@@ -45,12 +45,8 @@ |
| 45 |
45 |
|
| 46 |
46 |
=== Session-Cookie-Einstellungen === |
| 47 |
47 |
|
| 48 |
|
-{{figure image="system_general_session_cookie_de.png" clear="h3"}} |
| 49 |
|
- Sofern möglich, sollten die Einstellung für das Session-Cookie so strikt wie möglich sein und nur per HTTPS übertragen werden. |
| 50 |
|
-{{/figure}} |
|
48 |
+WIP |
| 51 |
51 |
|
| 52 |
|
-Das Session-Cookie dient zur Aufrechterhaltung einer Sitzung, während der Nutzer angemeldet ist. Hier kann festgelegt werden, ob das Session-Cookie nur bei HTTPS-Verbindungen gesetzt wird (Secure) und ob es an Drittseiten übermittelt werden soll (SameSite). Bei ausschließlicher Verwendung von HTTPS wird empfehlen, das Secure-Flag zu aktivieren. Das Erlauben des Session-Cookies auf Drittseiten ist für einige Anwendungsfälle wie das Einbinden per AJAX in externe Seiten notwendig. |
| 53 |
|
- |
| 54 |
54 |
== Protokoll == |
| 55 |
55 |
|
| 56 |
56 |
=== Automatisches Löschen von Protokolleinträgen === |
