|
|
|
|
|
En tant qu'administrateur système, vous pouvez appliquer des directives HTTP sécurisées (« En-têtes de réponse HTTP ») au service Web de MOVEit Transfer (PARAMÈTRES > Système - En-têtes HTTP : En-têtes de sécurité). Les principaux navigateurs Web compatibles avec les normes du secteur les utilisent pour bloquer/atténuer les vulnérabilités des sessions avec l'interface utilisateur Web. Ces paramètres optionnels que vous pouvez contrôler depuis MOVEit Transfer utilisent les directives standard du secteur avec des options renforcées.
Le service Web de MOVEit Transfer insère ces directives dans l'en-tête des messages HTTP. Pour voir s'ils sont actuellement envoyés, ouvrez la vue des outils de développeur dans le navigateur dans lequel une nouvelle session de l'interface utilisateur Web de MOVEit Transfer est ouverte. Par exemple, dans Chrome, vous pouvez accéder aux en-têtes de réponse HTTP en ouvrant la vue des outils à l'aide de la touche F12, puis recherchez Réseau > 
> En-têtes.
En-tête de réponse HTTP reçue depuis une session de l'interface utilisateur Web à l'aide des outils de développeur de Chrome (paramètres Contenu-Sécurité-Stratégie en surbrillance)
Ces options assurent que la communication de la session entre l'interface utilisateur Web de MOVEit Transfer (ou son équivalent) et les pages qu'elle demande à partir de l'hôte du serveur MOVEit Transfer utilise un protocole de transport sécurisé et ne sont pas vulnérables au contenu ni aux pages résiduelles provenant d'un serveur d'origine différente. L'utilisation de ces messages à en-tête avec les principaux fournisseurs de navigateurs permet d'assurer l'intégrité et la confidentialité des pages affichées pendant une session typique de l'interface utilisateur Web.
La configuration de cet indicateur d'en-tête HTTP... |
fait cela... |
Autres détails... |
Inclure l'en-tête Contenu-Sécurité-Stratégie |
Appliquez une stratégie qui permet aux navigateurs de ce site de charger des ressources à partir des origines et des points de terminaison du serveur désigné. Si aucune stratégie n'est définie, la stratégie Same-Origin (Même origine) sera mise en œuvre. |
Restreint l'origine et les types de contenus de la session actuelle aux OWASP suggested settings (Paramètres OWASP suggérés). |
Inclure l'en-tête HTTP Strict Transport Security |
Session de l'interface utilisateur directe ou équivalent pour contacter uniquement le service Web MOVEit Transfer et seulement au moyen de HTTPS.
|
L'utilisation stricte de HTTPS évite des attaques par rétrogradation à HTTP et contribue à assurer que les autres paramètres de la stratégie de sécurité ne sont ni dévoilés ni compromis. |
Inclure l'en-tête X-XSS-Protection |
Dirige tous les clients de l'interface utilisateur Web pour filtrer ou bloquer l'injection de code JavaScript ou de fenêtres contextuelles, ce qui est également appelé script intersites (XSS), et qui pourrait éventuellement récupérer du contenu à partir d'un site différent, moins sécurisé ou compromis. |
Dans un objectif de renforcement, lorsque cette directive est activée, elle indique aux clients de bloquer les pages qui font apparaître des signatures de XSS. |