Als Systemadministrator können Sie sichere HTTP-Direktiven („HTTP-Antwort-Header“) für den MOVEit Transfer-Webdienst (SETTINGS > System – HTTP Headers: Security Headers [EINSTELLUNGEN > System – HTTP-Header: Sicherheits-Header]) festlegen. Bei renommierten Webbrowsern, die Branchenstandards einhalten, werden dadurch Schwachstellen in Web-Schnittstellensitzungen blockiert/verringert. Diese optionalen Parameter, die Sie über MOVEit Transfer steuern können, nutzen die Industriestandardrichtlinien für die Diensthärtung.

Anmerkung: Der MOVEit Transfer-Webdienst fügt diese Direktiven in den HTTP-Nachrichtenkopf ein. Öffnen Sie zur Überprüfung im Browser die Entwickler-Tools für eine neu geöffnete MOVEit Transfer-Web-Schnittstellensitzung. Beispiel: In Chrome können Sie die HTTP-Antwort-Header in der Werkzeugansicht (Taste F12) öffnen. Gehen Sie dort auf Network > > Headers (Netzwerk > > Kopfzeilen).

Mit diesen Optionen wird sichergestellt, dass die Sitzungskommunikation zwischen der MOVEit Transfer-Web-Schnittstelle und den vom MOVEit Transfer-Serverhost angeforderten Seiten über ein sicheres Übertragungsprotokoll erfolgt und dass sie keine Schwachstellen für Inhalte und Seiten aufweist, die von einem anderen Ursprungsserver stammen. Durch die Verwendung dieser Kopfzeilenmeldungen mit den wichtigsten Browseranbietern wird die Integrität und Vertraulichkeit der während einer typischen WebUI-Sitzung angezeigten Seiten gewährleistet.

Die Einrichtung dieses HTTP-Header-Flags...

… führt zu folgendem Ergebnis

Sonstige Details...

Include Content-Security-Policy Header (Header „Content-Security-Policy“ einfügen)

Wendet eine Richtlinie an, durch die Betrachter diese Website Ressourcen von bestimmten Server-Ursprüngen und ‑Endpunkten laden können. Wenn keine Richtlinie definiert wird, wird die Richtlinie Same-Origin (gleicher Ursprung) durchgesetzt.

Ursprung und Typen für die aktuelle Sitzung werden auf die von der OWASP empfohlenen Einstellungen beschränkt.

Include HTTP Strict Transport Security Header (Header „HTTP Strict Transport Security“ einfügen)

Weist die Web-Schnittstelle oder den entsprechenden Sitzungs-Client an, den MOVEit Transfer-Webdienst nur über HTTPS zu kontaktieren.

  • Verwendet einen derzeit empfohlenen Wert für die obligatorische Direktive max-age (siehe RFC).
  • Verwendet einen strikten Wert für die optionale Subdomains-Direktive, die voraussetzt, dass Subdomains HTTPS verwenden.

Durch die strikte Durchsetzung von HTTPS werden HTTP-Downgrade-Angriffe verhindert; außerdem wird dadurch dazu beigetragen, dass andere Einstellungen der Sicherheitsrichtlinie weder aufgedeckt noch kompromittiert werden.

Include X-XSS-Protection Header (Header „X-XSS-Protection“ einfügen)

Alle Web-Schnittstellen-Clients werden angewiesen, die Injektion von JavaScript oder Pop-Ups zu blockieren (sog. Cross-Site-Skripting, XSS), durch die Content von anderen, weniger sicheren oder gehackten Websites geladen werden kann.

Zur Absicherung weist diese Direktive Clients an, Seiten zu blockieren, die Anzeichen von XSS aufweisen.
Clickjack Protection Header einfügen X-Frame-Options Antwort-Header auf DENY anwenden. Dies verhindert die Verwendung von Content Framing und verhindert Clickjacking-Szenarien. DENY ist die am wenigsten zulässige Option.
Anmerkung: Domain-Ausnahmen werden automatisch auf pendo.io angewendet, wenn die In-App-Benachrichtigungsfunktionen aktiviert sind.