2021年4月12日 星期一

Moodle VS. HTTPS and Enable HSTS

This article will demonstrate steps of enabling the HTTP Strict Transport Security (HSTS) policy for your Moodle. 

本文將展示 Moodle 實現 https 的步驟,直到強制 HSTS。

You will also learn what HSTS is and the importance of enabling the HSTS policy. Enabling HSTS policy is one of the safety measures that Click-AP recommend after deploying the SSL Certificate, and forcing HTTPS redirection. In order to implement HSTS policy, you need to add a serials rule in your Moodle site.

您也可以從本文知道 HSTS 及我們建議如何佈署 HTTPS 憑證,以及 HTTP 暫時及永久轉向到 HTTPS 。



HTTP VS. HTTPS

我們先開始談 HTTPS 架設, 再來談 HTTP 轉HTTPS(因為老師及同學的瀏覽可能有舊的瀏覽記錄是舊的 HTTP 的)

先給結果:你會看到 Moodle 用 302 幫你轉向到 HTTPS 。

302 to 301

前面的作法 會回應 302 並轉址, 但 302 是暫時轉址(302 Found 為 Moved Temporarily), 在你測試 Moodle 走 https 後, 正式讓 HTTPS 上線後, 會想要讓瀏覽器切到 301 Move Permanently   

301


Using this feature, all users are automatically routed to the secure version of your site. Chalk one up for the good guys!

使用 HTTPS 讓你的 Moodle 持續加分。

但還不夠,如果你有看到上圖中,從使用者開始連線使用  HTTP 網址,到伺服器回應 302/301 轉向到 HTTPS 的網址; 你就會知道它是兩條連線,有經驗的網管就會知道風險,這裡就是問題了,在轉址發生前會有空檔可能會被攻擊。

因此,我們必須設計一個完全沒有 HTTP 的連線。

This mechanism is called HTTP Strict Transport Security (HSTS) and is described in the specification RFC 6797. The spec defines a new response header called Strict-Transport-Security, which tells browsers that the website should be accessed only over HTTPS

這個機制就是HSTS。

What is HTTP Strict Transport Security (HSTS)?

HTTP Strict Transport Security (HSTS) is a web security policy and web server directive launched by Google in July 2016. It is a method used by websites that set regulations for user agents and a web
browser on how to handle its connection using the response header sent at the very beginning and back to the browser. (also see: Broadening HSTS to secure more of the Web)

This sets the Strict Transport Security policy field parameter. This forces the website to load on HTTPS protocol and disregards any script calling to load any of your website content over HTTP protocol.

HSTS 是網站安全的原則及網站伺服器指令,由 Google 在 2016年7月提出(連結);是一個瀏覽器與網站間處理連線/通訊的方法;使用回應表頭(Response Header) 在每次連線一開始/回傳時。

HSTS 強制 Moodle 使用 HTTPS 通訊協定,並且忽略Moodle 內沒有使用 HTTPS 引用的內容。


最後一張為 HSTS 上線後的畫面。





By
標籤: , ,

沒有留言:

張貼留言

歡迎留下您的問題,請留下您的Moodle版本及環境,我們才能跟據您的版本測試問題並回應。

訂閱: 張貼留言 (Atom)

精選文章

成績保留

最近有學生退選後再加選,在課程成績中測驗/作業成績都沒有記錄了,請問可以保留退選前取得的課程成績嗎? 是可以⭕的喔,來看看如何設定成績保留吧! 管理者 可於網站管理,點選成績後,打開一般設定,勾選「預設恢復成績」,就會恢復退選前的課程成績囉! 是不是很簡單呢😊😊 如有問題請 ...

熱門文章

  • 批次匯入校定班級群組的用戶
    校定班級群組的功能主要應用在選課上,可以一次將指定群組的成員加選進入課程,省去一個一個加選的麻煩。 但一個一個將用戶加入群組也是很費時費力的,因此我們要介紹一個更便捷的方法「批次匯入」! 1.建立校定班級群組 在匯入成員之前,需要先在平台建立校定班級群組。 路徑:網站管理...
  • 如何免密碼登入 Moodle 伺服器並提高後台管理安全性?
    Q: 如何提高 Moodle 主機 (Linux) 的安全性,一直是重要的議題。這次談的是主機管理的部份;如何讓我們的 Moodle 主機更安全的管理呢? 要介紹給大家的是,只接受公開金鑰認證 (Public Key Authentication) 的方式,不用打帳號/密碼就...
  • 測驗卷的瀏覽器安全性設定?
    老師反映學生使用平台考試,學生舞弊的情況真不少。到Google搜尋的、傳訊息給同學的也有,該如何防止呢?   這時候JavaScript 瀏覽器安全性就是個大救星了, 它禁止了複製貼上的功能,學生即使透過Google搜尋,也無法在將答案貼回測驗卷作答欄中。 來看看怎麼設定吧!😁...