Sikkerhetsendring for SSL/https

Det er satt opp noen ekstra sikkerhetsregler i nyeste release av Impleo Web som ikke bør ha noen innvirkning på brukere, men som KAN ha det.

Hvis en løsning kjører SSL/https så vil det legges på en ekstra header som forteller at løsningen ikke aksepterer andre kilder enn https. Alle forsøk på å inkludere linker/bilder/andre ressurser fra http (altså ikke-SSL) vil bli blokkert.

Det kan f.eks altså være link til eksterne webfonter eller bilder/pdf’er som ligger på eksterne (eller interne) websider. Så kunder som kjører https og linker til bilder eller andre ressurser med http (uten SSL) må altså endre dette. Denne funksjonen styres fra konfigurasjonen og er skrudd på som standard om siten bruker SSL. Om din site bruker iframes, eksterne fonter e.l., må innstillingen skrus av.

Teknisk så er dette relatert til headerne:

Strict-Transport-Security; max-age=2592000

som vil si at man ikke får linke til http-ressurser om man selv kjører SSL/https.

X-Content-Type-Options; nosniff 

som blokkerer mulighet til å gjøre ikke-kjørbare MIME-typer kjørbare.

Referrer-Policy; strict-origin

som blokkerer informasjon om hvilken URL det ble linket fra for eksterne sites.

Permissions-Policy; geolocation=(), microphone=()

som blokkerer bruk av geolokasjon og mikrofon.

X-Frame-Options; DENY

som blokkerer bruk av iframes.

Content-Security-Policy; default-src https: data: 'self' 'unsafe-inline' 'unsafe-eval'

som blokkerer Cross-Site-Scripting (XSS).