Um die Verbindung zwischen Webserver und Client (z. B. Browser) abzusichern, empfehlen wir, die Übertragung mit TLS zu verschlüsseln. Sofern der JobRouter-Webserver über das Internet zugänglich ist, können Sie Ihre TLS-Konfiguration über folgenden Link testen:
https://www.ssllabs.com/ssltest/
Achten Sie darauf, dass die Option Do not show the results on the boards aktiviert ist, falls Ihre JobRouter-Installation nicht in der Liste der aktuell überprüften Webseiten aufgeführt werden soll.
Aktivierung von HTTP Strict Transport Security
HTTP Strict Transport Security (HSTS) ist ein Sicherheitsmechanismus für HTTPS-Verbindungen, der sowohl vor Aushebelung der Verbindungsverschlüsselung durch eine Downgrade-Attacke als auch vor Session-Hijacking schützen soll. Nehmen Sie dazu in der web.config der Website folgenden Eintrag vor. Passen Sie dabei bei Bedarf die Anzahl der Sekunden an, die diese Konfiguration im Browser-Cache verbleiben soll (Parameter max-age=31536000 bedeutet 1 Jahr).
<?xml version="1.0" encoding="UTF-8"?>
<configuration>
<system.webServer>
<rewrite>
<outboundRules rewriteBeforeCache="true">
<rule name="Add Strict-Transport-Security when HTTPS">
<match serverVariable="RESPONSE_Strict_Transport_Security" pattern=".*" />
<conditions>
<add input="{HTTPS}" pattern="on" ignoreCase="true" />
</conditions>
<action type="Rewrite" value="max-age=31536000; includeSubDomains; preload" />
</rule>
</outboundRules>
</rewrite>
</system.webServer>
</configuration>
Session-Cookie nur über HTTPS setzen
Wird die JobRouter-Installation nur über HTTPS ausgeliefert, setzen Sie bitte die entsprechende Option in der PHP-Konfiguration.
