Petycja dot. wdrożenia HSTS HPKP XFO i innych na ePUAP
27.08.2017
Treść petycji (pisownia oryginalna):
Działając na podstawie art. 63 Konstytucji RP wnoszę petycje o podjęcie działań zmierzających do wdrożenia mechanizmów poprawiających bezpieczeństwo użytkowników, obejmujących w szczególności, ale nie wyłącznie:
• Content Security Policy
• HTTP Public Key Pinning
• HTTP Strict Transport Security
• X-Content-Type-Options
• X-Frame-Options
• X-XSS-Protection
• Referrer Policy
• Subresource Integrity
Szczegółowe uzasadnienie zostało przedstawione na https://mozilla.github.io/http-observatory-website/analyze.html?host=epuap.gov.pl i https://securityheaders.io/?q=epuap.gov.pl&hide=on&followRedirects=on .
Na marginesie, jestem zaskoczony brakiem HSTS, skoro ta usługa nigdy nie powinna być dostępna przez HTTP. Rozumiem, że niektórzy administratorzy HSTS nie wdrażają z obawy o dostępność swojej strony w przypadku awarii szyfrowania. Jednak ta strona w trakcie awarii szyfrowania usługa winna zostać wyłączona, bo nie można takiego ryzyka akceptować. Funkcjonuje także długo, co pozwala stwierdzić, że dotychczasowe mechanizmy szyfrowania działają.
Zagadnienie było także przedmiotem dyskusji na grupie "E-Administracja PL": https://www.facebook.com/groups/344328352246293/permalink/1639405532738562/
Niezależnie od powyższego wnoszę petycje o podjęcie działań zmierzających do wdrożenia na stronie ePUAP.gov.pl protokołu HTTP2/0, gdyż może mieć to istotny wpływ na ograniczenie szybkość wczytywania strony, zatem negatywny na komfort użytkowania strony, a ograniczony komfort użytkowania strony jest częstym zarzutem do tej platformy ze strony jej użytkowania.
Materiały
Odpowiedź na petycję dot. wdrożenia HSTS HPKP XFO i innych na ePUAP.pdf 0.45MB
- Ostatnia modyfikacja:
- 06.11.2017 16:07 Dominika Waligórska
- Pierwsza publikacja:
- 22.11.2017 13:18 Dominika Waligórska