Moodle VS. HTTPS and Enable HSTS

This article will demonstrate steps of enabling the HTTP Strict Transport Security (HSTS) policy for your Moodle. 

本文將展示 Moodle 實現 https 的步驟，直到強制 HSTS。

You will also learn what HSTS is and the importance of enabling the HSTS policy. Enabling HSTS policy is one of the safety measures that Click-AP recommend after deploying the SSL Certificate, and forcing HTTPS redirection. In order to implement HSTS policy, you need to add a serials rule in your Moodle site.

您也可以從本文知道 HSTS 及我們建議如何佈署 HTTPS 憑證，以及 HTTP 暫時及永久轉向到 HTTPS 。

HTTP VS. HTTPS

我們先開始談 HTTPS 架設, 再來談 HTTP 轉HTTPS(因為老師及同學的瀏覽可能有舊的瀏覽記錄是舊的 HTTP 的)

先給結果：你會看到 Moodle 用 302 幫你轉向到 HTTPS 。

302 to 301

前面的作法 會回應 302 並轉址, 但 302 是暫時轉址(302 Found 為 Moved Temporarily), 在你測試 Moodle 走 https 後, 正式讓 HTTPS 上線後, 會想要讓瀏覽器切到 301 Move Permanently   

301

Using this feature, all users are automatically routed to the secure version of your site. Chalk one up for the good guys!

使用 HTTPS 讓你的 Moodle 持續加分。

但還不夠，如果你有看到上圖中，從使用者開始連線使用  HTTP 網址，到伺服器回應 302/301 轉向到 HTTPS 的網址； 你就會知道它是兩條連線，有經驗的網管就會知道風險，這裡就是問題了，在轉址發生前會有空檔可能會被攻擊。

因此，我們必須設計一個完全沒有 HTTP 的連線。

This mechanism is called HTTP Strict Transport Security (HSTS) and is described in the specification RFC 6797. The spec defines a new response header called Strict-Transport-Security, which tells browsers that the website should be accessed only over HTTPS

這個機制就是ＨＳＴＳ。

What is HTTP Strict Transport Security (HSTS)?

HTTP Strict Transport Security (HSTS) is a web security policy and web server directive launched by Google in July 2016. It is a method used by websites that set regulations for user agents and a web
browser on how to handle its connection using the response header sent at the very beginning and back to the browser. (also see: Broadening HSTS to secure more of the Web)

This sets the Strict Transport Security policy field parameter. This forces the website to load on HTTPS protocol and disregards any script calling to load any of your website content over HTTP protocol.

HSTS 是網站安全的原則及網站伺服器指令，由 Google 在 2016年7月提出(連結)；是一個瀏覽器與網站間處理連線/通訊的方法；使用回應表頭(Response Header) 在每次連線一開始/回傳時。

HSTS 強制 Moodle 使用 HTTPS 通訊協定，並且忽略Moodle 內沒有使用 HTTPS 引用的內容。

最後一張為 HSTS 上線後的畫面。

Derberus 通知網址測試方法

Derberus 通知

Derberus 通知有兩種方式(email 及 網址通知), 這裡操作是網址通知。

Derberus 通知 Moodle

這裡以 Derberus 通知 Moodle 為例。 1. 到 Derberus 管理, 複製通知網址(如果沒有網址,請找負責的客服) 2. 登入, Derberus 後台(Linux 主機 或 Docker 所在的主機)，將這個網址用 curl 檢查是否可以連通。指令: curl -i 網址 3. 如果不是回傳 HTTP/1.1 200 OK. 那有以下幾個可能:

• 可能是網址錯了,
• 可能 Moodle 防火牆阻擋,
• 可能因企業內的不同網段或資安的原因, 造成網路路由阻檔...

以上原因都需要再詳細追查;

另外，Moodle、edX 及 Canvas 也都有排程去 Derberus 取回文件狀態，所以通知如果無法運作,就只好等排程執行了。

curl 其它的回應:

200:

當你下了 curl -i 網址的指令, 正常應該像這樣.

HTTP/1.1 200 OK
date: Thu, 01 Apr 2021 08:34:00 GMT
server: Apache
set-cookie: MoodleSession=6bdf1op94pig3kvemgvliu9bv0; path=/moodletaiwan/; secure
expires: Thu, 19 Nov 1981 08:52:00 GMT
cache-control: no-store, no-cache, must-revalidate
pragma: no-cache
content-length: 0
content-type: text/html; charset=utf-8

404

如果是得到 404 , 可能是網站對了, 但是路徑錯了, 請檢查通知路徑。

HTTP/1.1 404 Not Found

Could not resolve host...

如果是這個訊息, 就是站台網址不認識或拼錯了...

curl: (6) Could not resolve host: ademo.moodle.com.tw; Unknown error

希望能您幫助追查 文件保全系統在通知 LMS 的問題。

其它FAQ 在 https://www.click-ap.com/derberus, 謝謝.

Derberus文件浮水印 在 Moodle 活動內的操作 by MoodleCAM

首先，在Moodle 課程內新增1 活動或資源；再從檔案挑選器，切到 Office 文件，挑選你轉好的文件(此時已經是 PDF 了).

1. 新增活動/資源

2. 在檔案上傳時，選擇來自 Office 文件(Derberus) 的文件

3. 完成.

https://www.facebook.com/moodletw/posts/2805113263034630