Sicherheitsfeatures zur Abschottung des Systems aktivieren und Hinweise für die Migration
Mehrere Sicherheitsfeatures für die Abschottung des Servers sind standardmäßig aktiviert. Bei der Migration werden die Einstellungen, die vor der Migration aktiv waren, beibehalten. Wenn die Features jedoch nach der Migration nicht aktiviert werden, können Sie sie manuell aktivieren.
Um sicherzustellen, dass die Konfiguration von WebSphere® Application Server standardmäßig als sicher definiert ist, wurden die folgenden Standardwerte im Rahmen der neuen Sicherheitsfeatures zur Abschottung des Systems in WebSphere Application Server Version 8.0:
- Aktivierung von Secure Sockets Layer (SSL) - standardmäßig erforderlich beim CSIv2-Transport (Common Secure Interoperability Version 2)
Die folgenden Einstellungen sind für die CSIv2-Transportebene verfügbar: TCP/IP für eine TCP/IP-Verbindung, SSL-supported für eine TCP/IP- oder SSL-Verbindung und SSL-required für eine reine SSL-Verbindung. SSL erforderlich ist der neue Standardwert in diesem Release von WebSphere Application Server. Die Umstellung auf SSL-required als Standardeinstellung stellt sicher, dass alle CSIv2-Verbindungen, die beim Server ein- und abgehen die sichere SSL-Verbindung verwenden.
- Standardmäßige Aktivierung des Attributs HttpOnly in LTPA-Cookies
Wenn die angepasste Eigenschaft com.ibm.ws.security.addHttpOnlyAttributeToCookies auf true gesetzt wird, wird das Attribut HttpOnly zu den Sicherheitscookies (LTPA- und WASReqURL-Cookies) hinzugefügt, die vom Server erstellt werden. Das Attribut HttpOnly ist ein Browserattribut, das erstellt wurde, um zu verhindern, dass clientseitige Anwendungen (z. B. Java™ -Scripts) auf Cookies zugreifen, um einige Cross-Site Scripting-Schwachstellen zu verhindern. Dieses Attribut kann jetzt über die Administrationskonsole konfiguriert werden. Vor WebSphere Application Server Version 8.0war der Standardwert der angepassten Eigenschaft com.ibm.ws.security.addHttpOnlyAttributeToCookies false. Für WebSphere Application Server Version 8.0ist der Standardwert für das LTPA-Cookie und das Sitzungscookie jetzt true .
Weitere Informationen finden Sie in der Beschreibung der angepassten Eigenschaft "com.ibm.ws.security.addHttpOnlyAttributeToCookies" im Artikel zu den angepassten Sicherheitseigenschaften.
- Standardmäßige Aktivierung der Integration der Sitzungssicherheit
Nur authentifizierte Benutzer können auf Sitzungen zugreifen, die auf sicheren Seiten erstellt wurden. Die Funktion für Sitzungsverwaltung verwendet die Sicherheitsinfrastruktur, um die einer Client-HTTP-Anforderung zugeordnete authentifizierte Identität zu ermitteln, mit der eine Sitzung angefordert oder erstellt wird. Weitere Informationen zur Sitzungssicherheit finden Sie im Artikel zur Sitzungssicherheit.
Neben der Integration der Sitzungssicherheit wird auch die Persistenz der Berechtigungsnachweise aktiviert. So sind Anmeldeinformationen auch für ungeschützte Web-Clients verfügbar und bieten weitere Möglichkeiten, auf Benutzerdaten zuzugreifen. Weitere Informationen zur Persistenz von Berechtigungsnachweisen finden Sie im Abschnitt
Verfügbare Authentifizierungsdaten beim Zugriff auf einen nicht geschützten URI verwenden
im Artikel zu den Einstellungen für die Webauthentifizierung.
Neue Sicherheitsfeatures zur Abschottung des Systems nach der Migration aktivieren
Wenn die neuen Sicherheitsfeatures nach der Migration nicht aktiviert werden, können Sie sie über die Administrationskonsole oder mit Scripting selbst aktivieren.
- Standardmäßige Aktivierung von SSL unter CSIv2
- Gehen Sie wie folgt vor, um SSL für eingehende und abgehende CSIv2-Transporte standardmäßig zu aktivieren:
Wenn Sie die Administrationskonsole verwenden, wählen Sie aus. Wählen Sie im Transportfeld SSL- required in der Pulldown-Liste aus und klicken Sie anschließend auf Apply.
Wiederholen Sie dieselben Schritte für die abgehende Kommunikation CSIv2 und klicken Sie auf . Wählen Sie im Feld "Transport" in der Menüliste SSL- required aus und klicken auf Apply.
Verwenden Sie die Befehle configureCSIInbound und configureCSIOutbound, um SSL für eingehende und abgehende CSIv2-Transporte mit Scripting standardmäßig zu aktivieren: Weitere Informationen finden Sie im Artikel "CSI-Authentifizierung mit Scripting konfigurieren".
Editieren Sie für die Clientseite die Datei "sas.client.props". Ändern Sie die Einstellung für com.ibm.CSI.performTransportAssocSSLTLSRequired in true und die Einstellung für com.ibm.CSI.performTransportAssocSSLTLSSupported in false.
- Aktivierung des Attributs HttpOnly für Cookies
- Gehen Sie wie folgt vor, um das Attribut HttpOnly in Cookies standardmäßig zu aktivieren:
Wenn Sie die Administrationskonsole verwenden, klicken Sie auf . Klicken Sie aufNew und geben Sie com.ibm.ws.security.addHttpOnlyAttributeToCookies als Namen und true als Wert ein.
Sie können das Attribut HttpOnly auch über die Verwaltungskonsole aktivieren, indem Sie auf klicken. Klicken Sie auf "Sicherheitscookies auf HTTPOnly setzen", um Cross-Site Scripting-Angriffe zu verhindern, und klicken Sie anschließend auf Apply.
Gehen Sie wie folgt vor, um das HttpOnly-Attribut in Cookies mit Scripting standardmäßig zu aktivieren:
- Aktivierung der Integration der Sitzungssicherheit
- Wählen Sie zum Aktivieren der Integration der Sitzungssicherheit für jeden Server über die Administrationskonsole aus. Wählen Sie das Kontrollkästchen security integration aus.
Wenn Sie persistente Berechtigungsnachweise über die Administrationskonsole aktivieren möchten, klicken Sie auf . Wählen Sie das Kontrollkästchen Verfügbare Authentifizierungsdaten beim Zugriff auf einen ungeschützten URI verwenden aus.
Fehlerbehebung für Sicherheitsfeatures für die Abschottung des Systems
Wenn die neuen Features für die Abschottung des Systems aktiviert sind, sehen Sie möglicherweise Unterschiede im Systemverhalten, je nachdem, welche Umgebung Sie in der Vergangenheit verwendet haben.
Wenn Sie z. B. von einer Umgebung kommen, die für CSIv2-Transporte den Wert "SSL-supported" hatte, werden Sie keine Unterschiede feststellen, da "SSL-supported" mit TCP/IP- und mit SSL-Verbindungen kommuniziert. Tritt allerdings ein Problem auf, bedeutet das, dass Zertifikate möglicherweise nicht ordnungsgemäß ausgetauscht wurden, um die Kommunikation zwischen Client und Server zu ermöglichen. Weitere Informationen finden Sie im Artikel "Sichere Kommunikation mit SSL".
Wenn Sie in einer Umgebung gearbeitet haben, in der TCP/IP für die Verbindung zu CSIv2 verwendet wird, tritt möglicherweise ein Problem bei der SSL-fähigen CSIv2-Verbindung auf. Die Serverkonfiguration kann in SSL-supported oder TCP/IP geändert werden, wenn SSL nicht erforderlich ist.
Wenn das Attribut HttpOnly zu den Sicherheitscookies hinzugefügt wird, verhindert der Browser auf der Clientseite, dass Scripts auf diese Cookies zugreifen. In den meisen Fällen sollte dieses Standardverhalten zur Anwendung kommen, um Cross-Site-Scripting-Attacken zu vermeiden. Wenn es absolut erforderlich ist, clientseitigen Scripts den Zugriff auf WebSphere -Sicherheitscookies zu ermöglichen, und Sie die möglichen Konsequenzen kennen, kann die Einstellung des Attributs HttpOnly inaktiviert werden.
Das Attribut HttpOnly kann jedoch möglicherweise clientseitige Scripts aufdecken, die für den Zugriff auf WebSphere -Cookies verwendet werden, und diese dann verwenden, auch wenn dies nicht beabsichtigt war. In diesem Fall muss die Webanwendung, die den Scripts den Zugriff auf die WebSphere -Cookies ermöglicht, ausgewertet werden.
Wenn die integrierte Sicherheitsfunktion der Sitzung aktiviert ist, wird beim Aktivieren der Integration der Sitzungssicherheit möglicherweise eine Ausnahme vom Typ UnauthorizedSessionRequestException für Servlets ausgelöst, wenn diese auf eine Sitzung zugreifen, die einer anderen authentifizierten Identität zugeordnet ist als derjenigen, die derzeit Eignerin der Sitzung ist. Wenn Sie diese Überprüfung nicht wünschen, können Sie die Sitzungssicherheit auf dem Server, auf dem das Problem auftritt, inaktivieren.