Sweclockers - HTTP Strict Transport Security.

Permalänk
Medlem

Sweclockers - HTTP Strict Transport Security.

Hej skriver sällan här på sc, men såg att vissa trådar på forumet inte laddas in över ssl, detta pga osäkra länkar som bäddas in i forumet.
Här tex https://www.sweclockers.com/forum/trad/1540570-mjuka-silikonb...

Kollar man i console så ser man att den är länkad med http istället för https från legitreviews.com och de blir så pga legitreviews inte heller har HTTP Strict Transport Security aktiverat som header på sin webserver.

Vilket resulterar i att den accepteras av webservern som en http länk fastän den igentligen skall vara över ssl.
Vilket i sin tur resuluterar i att sweclockers får trådar i sitt forum som går över http istället för https.
Och då blir de så här.

Detta är simpelt fixat genom att förklara för sin webserver att den skall använda HTTP Strict Transport Security.
https://raymii.org/s/tutorials/HTTP_Strict_Transport_Security...

För att kolla så den faktiskt fungerar som den ska efter att HTTP Strict Transport Security är aktiverat så gå hit
https://securityheaders.com/

Skriver detta för att hjälpa sweclockers.
Btw gillar att ni kör Varnish +1!!

Visa signatur

[ Fractal Design Define S Svart ] [ ASUS ProArt X670E-Creator WIFI ] [ Amd Ryzen 9 7950x3D ]
[ G.Skill Trident 64GB DDR5 6000MHz ] [ Noctua NH-D15 Chromax Black ]
[ Western Digital Black SN850X 1TB Gen4 ] [ Samsung 870 QVO 2TB MZ-77Q2T0BW ]
[ ASUS TUF GeForce RTX 3080 10GB Gaming OC ]
[ Corsair AX860 80 Plus Platinum ] [ Gigabyte 32" M32U IPS 4K 144 Hz HDMI 2.1 ]

Permalänk
Hedersmedlem
Skrivet av Zidichy:

Hej skriver sällan här på sc, men såg att vissa trådar på forumet inte laddas in över ssl, detta pga osäkra länkar som bäddas in i forumet.
Här tex https://www.sweclockers.com/forum/trad/1540570-mjuka-silikonb...

Kollar man i console så ser man att den är länkad med http istället för https från legitreviews.com och de blir så pga legitreviews inte heller har HTTP Strict Transport Security aktiverat som header på sin webserver.
https://imagez.to/i/IqFD3BJH.png

Vilket resulterar i att den accepteras av webservern som en http länk fastän den igentligen skall vara över ssl.
Vilket i sin tur resuluterar i att sweclockers får trådar i sitt forum som går över http istället för https.
Och då blir de så här.

https://imagez.to/i/mTeG4ELW.png
https://imagez.to/i/o7ZNa4ER.png

Detta är simpelt fixat genom att förklara för sin webserver att den skall använda HTTP Strict Transport Security.
https://raymii.org/s/tutorials/HTTP_Strict_Transport_Security...

För att kolla så den faktiskt fungerar som den ska efter att HTTP Strict Transport Security är aktiverat så gå hit
https://securityheaders.com/

Skriver detta för att hjälpa sweclockers.
Btw gillar att ni kör Varnish +1!!

Hej,

Tack för din feedback.
Skall jag vara helt ärligt var detta något jag trodde var implementerat, men bra att du uppmärksammat.
Jag tar det till verkstaden och ser om vi inte ska kunna få bukt på det.

Mvh // Anton

Visa signatur

Dator, MOBO: Asus X99-A, CPU: Intel I7 6800k (3.4GHz), GPU: Geforce PNY 2070 Super, RAM: 4x8GB Corsair Vengeance LPX 2400MHz, OS-HDD: Intel 750 PCIe 400GB, PSU: EVGA SuperNOVA G2 850W

Permalänk
Medlem

@Klorixx

Np, bara glad att få kunna hjälpa till

Hade gärna editerat mitt inlägg men har inge alternativ för det.
Antar att de är pga jag har för få inlägg på sweclockers forums?

Visa signatur

[ Fractal Design Define S Svart ] [ ASUS ProArt X670E-Creator WIFI ] [ Amd Ryzen 9 7950x3D ]
[ G.Skill Trident 64GB DDR5 6000MHz ] [ Noctua NH-D15 Chromax Black ]
[ Western Digital Black SN850X 1TB Gen4 ] [ Samsung 870 QVO 2TB MZ-77Q2T0BW ]
[ ASUS TUF GeForce RTX 3080 10GB Gaming OC ]
[ Corsair AX860 80 Plus Platinum ] [ Gigabyte 32" M32U IPS 4K 144 Hz HDMI 2.1 ]

Permalänk
Hedersmedlem
Skrivet av Zidichy:

Hade gärna editerat mitt inlägg men har inge alternativ för det.
Antar att de är pga jag har för få inlägg på sweclockers forums?

Se https://www.sweclockers.com/forum/trad/1399644-begransningar-... angående inläggsredigering. Vi kan hjälpa till med enstaka redigeringar av inlägg. Enklast är att anmäla sitt eget inlägg och förklara vad det är för något man vill justera.

Permalänk
Medlem

@Klorixx

Ser att ni lagt till bättre säkerhet på era headers nu Från F till C
Men det verkar som de krävs mer för att få slippa osäkra länkar som använder http istället för https.

https://www.sweclockers.com/forum/trad/1562101-daliga-google-...

Lägg till detta i eran header security.
add_header Content-Security-Policy ‘block-all-mixed-content; upgrade-insecure-requests’;
Testade headern i nginx så att den fungerar, resultat nedan

headern gör följande:
CSP: block-all-mixed-content.The HTTP Content-Security-Policy (CSP) block-all-mixed-content directive prevents loading any assets using HTTP when the page is loaded using HTTPS.
All mixed content resource requests are blocked, including both active and passive mixed content

https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Con...

CSP: upgrade-insecure-requests.The HTTP Upgrade-Insecure-Requests request header sends a signal to the server expressing the client's preference for an encrypted and authenticated response, and that it can successfully handle the upgrade-insecure-requests CSP directive
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Upg...

Sen slipper vi mixed content på sweclockers

Visa signatur

[ Fractal Design Define S Svart ] [ ASUS ProArt X670E-Creator WIFI ] [ Amd Ryzen 9 7950x3D ]
[ G.Skill Trident 64GB DDR5 6000MHz ] [ Noctua NH-D15 Chromax Black ]
[ Western Digital Black SN850X 1TB Gen4 ] [ Samsung 870 QVO 2TB MZ-77Q2T0BW ]
[ ASUS TUF GeForce RTX 3080 10GB Gaming OC ]
[ Corsair AX860 80 Plus Platinum ] [ Gigabyte 32" M32U IPS 4K 144 Hz HDMI 2.1 ]

Permalänk
Hedersmedlem
Skrivet av Zidichy:

@Klorixx

Ser att ni lagt till bättre säkerhet på era headers nu Från F till C
Men det verkar som de krävs mer för att få slippa osäkra länkar som använder http istället för https.
https://i.imgur.com/s9e7Pnh.png
https://www.sweclockers.com/forum/trad/1562101-daliga-google-...
https://i.imgur.com/i1LNncO.png

Lägg till detta i eran header security.
add_header Content-Security-Policy ‘block-all-mixed-content; upgrade-insecure-requests’;
Testade headern i nginx så att den fungerar, resultat nedan
https://i.imgur.com/902CkK5.png

headern gör följande:
CSP: block-all-mixed-content.The HTTP Content-Security-Policy (CSP) block-all-mixed-content directive prevents loading any assets using HTTP when the page is loaded using HTTPS.
All mixed content resource requests are blocked, including both active and passive mixed content

https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Con...

CSP: upgrade-insecure-requests.The HTTP Upgrade-Insecure-Requests request header sends a signal to the server expressing the client's preference for an encrypted and authenticated response, and that it can successfully handle the upgrade-insecure-requests CSP directive
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Upg...

Sen slipper vi mixed content på sweclockers

Hej,

Jag tar med detta till teknikteamet och diskuterar lite vad det kan få för konsekvenser att implementera, men spontant låter det positivt och jag ser inga direkta hinder med det.
Men jag kollar upp det och återkommer i frågan.

Mvh // Anton

Visa signatur

Dator, MOBO: Asus X99-A, CPU: Intel I7 6800k (3.4GHz), GPU: Geforce PNY 2070 Super, RAM: 4x8GB Corsair Vengeance LPX 2400MHz, OS-HDD: Intel 750 PCIe 400GB, PSU: EVGA SuperNOVA G2 850W