興趣
ihealth.vghtpe.gov.tw 弱掃報告處理方式說明:
需修正與調整的項目,預計於 9/5 前完成 (會再約定可到場處理的時間)
黃底:暫不處理
黃底:暫不處理
藍底:會再安排時間處理
- SameSite 屬性不安全、不適當或遺漏的 Cookie:均無機敏性問題,將不進行處理
問題 1 / 4
timezone (Cookie):為 JavaScript 前端使用,無機敏性問題。
問題 2 / 4
PHPSESSID (Cookie):網站系統已經有設定 https 與 SameSite=Lax 屬性,應符合安全性。 (參照圖 1)
若院方判斷此屬性不夠安全,我們可以配合調整至貴院需求的屬性。
問題 3 / 4
locale (Cookie):報告內容為誤判。網站系統已經有設定 https 與 SameSite=Lax 屬性。 (參照圖 1)
問題 4 / 4
PHPSESSID (Cookie):報告內容為誤判。網站系統已經有設定 https 與 SameSite=Lax 屬性。 (參照圖 1)
圖1
- 「Content-Security-Policy」中遺漏或包含不安全的「Style-src」或「Default-src」原則:會導致系統功能無法正常使用,將不會進行設定
依照軟體建議設定會導致系統功能無法正常使用,因此不會進行設定。
風險的部分,在網站系統中,於後端透過 htmlpurifier 套件進行來源過濾與內容重組,已排除可能的風險。
- 「Content-Security-Policy」標頭中遺漏或包含不安全的「Object-Src」或「Default-src」原則:會導致系統功能無法正常使用,將不會進行設定
依照軟體建議設定會導致系統功能無法正常使用,因此不會進行設定。
風險的部分,在網站系統中,於後端透過 htmlpurifier 套件進行來源過濾與內容重組,已排除可能的風險。
- 「Content-Security-Policy」標頭中遺漏或包含不安全的「Script-Src」或「Default-src」原則:會導致系統功能無法正常使用,將不會進行設定
依照軟體建議設定會導致系統功能無法正常使用,因此不會進行設定。
風險的部分,在網站系統中,於後端透過 htmlpurifier 套件進行來源過濾與內容重組,已排除可能的風險。
- 偵測到隱藏目錄:會於網站主機上調整 apache 設定
- 應用程式中找到不必要的 HTTP 回應標頭:無法完全關閉,已減少顯示資訊
apache 的 HTTP 回應標頭,在 server 是關不掉的,已經減少資訊只顯示 apache 而已。
- 找到可快取的 SSL 頁面:無機密性資訊,將不處理
掃到的 URL 為數學方程式編輯器,此檔案無機密性資訊。
- 未強制加密:可在 apache 加上設定
掃到的 js 檔案是直接透過 apache 走 http 回應,不會透過程式碼導向 https。
若院內不需要使用 http (port 80) ,就需要在 apache 加上設定。
- 遺漏「Content-Security-Policy」標頭:會於網站主機上調整 apache 設定
- 遺漏或不安全的 "X-Content-Type-Options" 標頭:將會再修正
- 遺漏或不安全的 HTTP Strict-Transport-Security 標頭:會於網站主機上調整 apache 設定
評語
統計結果不開放
請登入後才可以評分
未登入或權限不足!
- 1.
- 1.1活動目錄
- 1.2資訊安全與AI探討
- 1.3校園資安通報與物聯網設備安全宣導
- 2.生活
- 3.健康
