|
|
|
|
|
SysAdmin ユーザーは、MOVEit Transfer Web サービスでセキュア HTTP ディレクティブ (「HTTP 応答ヘッダー」) を適用できます ([SETTINGS (設定)] > [System (システム)] - [HTTP Headers:Security Headers (HTTP ヘッダー:セキュリティヘッダー)])。業界標準に準拠している主要な Web ブラウザでは、これらを使用して WebUI セッションの脆弱性をブロック/軽減します。これらのオプションパラメータは、MOVEit Transfer から制御でき、オプションが強化された業界標準ディレクティブを利用します。
MOVEit Transfer Web サービスは、このようなディレクティブを HTTP メッセージヘッダーに挿入します。現在送信されているかどうかを確認するには、新しい MOVEit Transfer WebUI セッションが行われているブラウザの開発者ツールビューを開きます。たとえば、Chrome で HTTP 応答ヘッダーにアクセスするには、F12 キーでツールビューを開き、[Network (ネットワーク)] > 
> [Headers (ヘッダー)] の下を確認します。
Chrome 開発者ツールを使用して WebUI セッションから表示した、受信した HTTP 応答ヘッダー (Content-Security-Policy 設定がハイライトされています)
これらのオプションは、MOVEit Transfer WebUI (または同等のもの) と、MOVEit Transfer サーバーホストから要求されたページとのセッション通信が安全な転送プロトコルを使用し、異なる元のサーバーからバックフィルされたコンテンツまたはページの影響を受けにくくするためのものです。主要なブラウザベンダーでこうしたヘッダーメッセージを使用すると、通常の WebUI セッションで閲覧されたページの安全性と機密性を確保できます。
HTTP ヘッダーフラグの設定... |
目的... |
その他の詳細... |
[Include Content-Security-Policy Header (Content-Security-Policy ヘッダーを含める)] |
このサイトでブラウザが、指定した元のサーバーとエンドポイントからリソースをロードできるポリシーを適用します。ポリシーが定義されていない場合は、同一生成元ポリシーが適用されます。 |
現在のセッションのコンテンツの生成元とタイプを OWASP の推奨設定に制限します。 |
[Include HTTP Strict Transport Security Header (HTTP Strict Transport Security ヘッダーを含める)] |
WebUI または同等のセッションクライアントに HTTPS のみを介して MOVEit Transfer Web サービスとのみ通信するよう指示します。
|
HTTPS を厳密に使用することで、HTTP のダウングレード攻撃を防止し、その他のセキュリティポリシー設定の漏えいや侵害を防ぐことができます。 |
[Include X-XSS-Protection Header (X-XSS-Protection ヘッダーを含める)] |
すべての WebUI クライアントに対して JavaScript やポップアップのインジェクションを除外またはブロックするよう指示します。これらはクロスサイトスクリプティング (XSS) とも呼ばれ、安全性の低いサイトや侵害されたサイトからコンテンツを引き出す可能性があります。 |
強化する目的でこのディレクティブを有効にすると、クライアントは XSS の特徴を示すページをブロックします。 |