ArcGIS Server Security 2021 Güncelleme 2 Yaması

 

Esri, ArcGIS Server Security 2021 Güncelleme 2 Yamasını yayınladı. Bu yama, 10.9, 10.8.1, 10.7.1 ve 10.6.1 sürümlerinde yakın zamanda tespit edilen dört güvenlik açığını giderir. Tüm güvenlik yamalarında olduğu gibi, tüm sistem yöneticilerini ilk fırsatta ilgili sistemlere güvenlik güncellemelerini yüklemelerini tavsiye ediyoruz.

Bu yamada bir yüksek önem derecesine sahip güvenlik açığı ve üç orta önem düzeyine sahip güvenlik açığı ele alınmaktadır.

Müşterilerimizin operasyonlarındaki bu güvenlik açığı riskini daha iyi değerlendirmelerini sağlamak için Common Vulnerability Scoring System (CVSS) puanları sağlıyoruz. Resmi bir yamanın kullanılabilirliğini yansıtmak için hem temel puan hem de değiştirilmiş zamansal puan sağlanmıştır. Bu metriklerin tanımı hakkında daha fazla bilgi için lütfen Common Vulnerability Scoring System bakın.

Bu yamada düzeltilen güvenlik açıkları şunları içerir:

Esri, ArcGIS Server 10.9 ve önceki sürümler tarafından sağlanan özellik hizmetlerindeki bir SQL enjeksiyon güvenlik açığı, uzak, kimliği doğrulanmamış bir saldırganın özel olarak hazırlanmış sorgular aracılığıyla hedeflenen hizmetlerin gizliliğini, bütünlüğünü ve kullanılabilirliğini etkilemesine olanak tanır.

Common Vulnerability Scoring System  (CVSS v3.1) Ayrıntıları

  • 3 Temel Puan, 6.0 Geçici Puan
  • Düzeltme Düzeyi: Resmi Düzeltme Mevcut
  • Güven Bildirimi: Esri tarafından onaylandı

#CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L/RL:O/MPR:L

Güvenlik Açığı Ayrıntıları

CVE yakında gelecek – SQL Enjeksiyonu (SQLi) CWE-89 – CVSS 6.0

Hafifletici önlemler:

Varsayılan olarak, ArcGIS Enterprise’a yayınlanan hizmetler anonim olarak kullanılamaz ve bu hizmetlere kimliği doğrulanmamış bir saldırgan tarafından erişilemez.

Common Vulnerability Scoring System  (CVSS v3.1) Ayrıntıları

  • 1 Temel Puan, 5.2 Geçici Puan
  • Düzeltme Düzeyi: Resmi Düzeltme Mevcut
  • Güven Bildirimi: Esri tarafından onaylandı

#CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N/RL:O/RC:C/MPR:L

Güvenlik Açığı Ayrıntıları

CVE yakında gelecek – Siteler Arası Komut Dosyası (XSS) CWE-79 – CVSS 5.2

Hafifletici önlemler:

Varsayılan olarak, ArcGIS Enterprise’a yayınlanan hizmetler anonim olarak kullanılamaz ve bu hizmetlere kimliği doğrulanmamış bir saldırgan tarafından erişilemez.

  • 3 Temel Puan, 4.1 Geçici Puan
  • Düzeltme Düzeyi: Resmi Düzeltme Mevcut
  • Güven Bildirimi: Esri tarafından onaylandı

#CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N/RL:O/MPR:L

Güvenlik Açığı Ayrıntıları

CVE yakında gelecek – Bilgiye Maruz Kalma CWE-200 – CVSS 4.1

Hafifletici önlemler:

Bu sorunu hafifletmeye yönelik seçenekler arasında barındırılan özellik hizmetinin ve oluşturulan herhangi bir barındırılan özellik hizmeti görünümlerinin güvenliğinin sağlanması yer alır.

ArcGIS Server yardım belgelerindeki bir uzak dosya ekleme güvenlik açığı, uzaktaki, kimliği doğrulanmamış bir saldırganın, saldırgan tarafından sağlanan html içeren bir sayfaya enjekte etmesine izin verebilir.

Common Vulnerability Scoring System  (CVSS v3.1) Ayrıntıları

  • 7 Temel Puan, 3.3 Geçici Puan
  • Düzeltme Düzeyi: Resmi Düzeltme Mevcut
  • Güven Bildirimi: Esri tarafından onaylandı

#CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N/RL:O

Güvenlik Açığı Ayrıntıları

CVE Çok Yakında – Siteler Arası Komut Dosyası (XSS) CWE-79 – CVSS 3.3

Hafifletici önlemler:

Yardım belgeleri web katmanında güvence altına alınabilir. Aşağıdaki linkten inceleyebilirsiniz.

https://community.esri.com/t5/esri-software-security-privacy-blog/bg-p/esri-software-security-and-privacy-blog/page/2

Portal for ArcGIS Güvenlik Güncellemesi 2021 1 Yaması

Esri, 10.9, 10.8.1, 10.8, 10.7.1, 10.6.1 ve 10.6 sürümlerinde yakın zamanda tanımlanan bir dizi güvenlik açığını çözen ArcGIS Security 2021 Güncelleme 1 Yaması için Portal’ı yayımladı. Tüm güvenlik yamalarında olduğu gibi, tüm sistem yöneticilerini ilk fırsatta ilgili sistemlere güvenlik güncellemelerini yüklemelerini tavsiye ediyoruz.

Portal for ArcGIS Security 2021 Güncelleme 1 Yaması bir yüksek önem derecesine sahip güvenlik açığına ve iki orta önem düzeyine sahip güvenlik açığına yöneliktir.

Bu güvenlik açığı riskini daha iyi değerlendirmelerini sağlamak için Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) puanları sağlıyoruz. Resmi bir yamanın kullanılabilirliğini yansıtmak için hem temel puan hem de değiştirilmiş zamansal puan sağlanmıştır.

Bu metriklerin tanımı hakkında daha fazla bilgi için Ortak Güvenlik Açığı Puanlama Sistemine (Common Vulnerability Scoring System) bakın.

Bu yamada düzeltilen güvenlik açıkları şunları içerir: 

  • Esri Portal for ArcGIS 10.9 ve önceki sürümlerinde kuruluşa özel oturum açmalarda, kimliği doğrulanmış uzak bir saldırganın başka bir hesabın kimliğine bürünmesine izin verebilecek bir ayrıcalık yükseltme güvenlik açığı vardır.

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS v3.1) Ayrıntıları

  • 8 Temel Puan, 8.4 Geçici Puan
  • Düzeltme Düzeyi: Resmi Düzeltme Mevcut
  • Güven Bildirimi: Esri tarafından onaylandı.

CVSS Vektor: #CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/RL:O/RC:C

Hafifletici unsurlar

  • ArcGIS Kuruluşa Özgü Oturum Açma SSS’inde belgelendiği gibi SAML’ye özgü en iyi güvenlik uygulamalarını uygulayın
  • Kuruluşa Özel Girişlerin geçici olarak devre dışı bırakılması (Önerilmez)

 

Esri Portal for ArcGIS sürüm 10.9 ve önceki sürümlerinde yansıtılan Siteler Arası Komut Dosyası (XSS) güvenlik açığı, uzaktaki bir saldırganın kullanıcıyı, kullanıcının tarayıcısında rastgele JavaScript kodu çalıştırabilecek hazırlanmış bir bağlantıyı tıklamaya ikna etmesine olanak verebilir.

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS v3.1) Ayrıntıları

  • 1 Temel Puan, 5.8 Geçici Puan
  • Düzeltme Düzeyi: Resmi Düzeltme Mevcut
  • Güven Bildirimi: Esri tarafından onaylandı.

CVSS Vektor: #CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N/RL:O/RC:C

Güvenlik Açığı Ayrıntıları

Cross Site Scripting (XXS) CWE-79 – CVSS 5.8

  • Esri Portal for ArcGIS sürüm 10.9 ve daha düşük sürümlerinde depolanan Siteler Arası Komut Dosyası (XSS) güvenlik açığı, uzaktaki bir saldırganın kullanıcıyı, kullanıcının tarayıcısında rasgele JavaScript kodu çalıştırabilecek hazırlanmış bir bağlantıyı tıklamaya ikna etmesine olanak verebilir.

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS v3.1) Ayrıntıları

  • 4 Temel Puan, 5.2 Geçici Puan
  • Düzeltme Düzeyi: Resmi Düzeltme Mevcut
  • Güven Bildirimi: Esri tarafından onaylandı.

CVSS Vektor: #CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N/RL:O/RC:C

Ek Notlar;

Bu yama, ArcGIS Enterprise’ın şu anda desteklenen sürümlerinde (10.6, 10.6.1, 10.7.1, 10.8, 10.8.1 ve 10.9) çalışan tüm müşteriler için şiddetle tavsiye edilmektedir.

Hem müşteriler hem de Esri için yama sürecini kolaylaştırmaya yardımcı olacak yeni bir yaklaşım olarak bu yama, ArcGIS Enterprise’ın Portal for ArcGIS bileşeninin gelecekteki yamaları için bir ön koşul olacaktır. Sonuç olarak, bu yama Windows sistemlerine uygulandıktan sonra kaldırılamaz. Yama Linux sistemlerinde kaldırılabilse de, gelecekte yamaların istendiği durumlarda tekrar yüklenmesi gerekecektir.

Bu, aynı zamanda, bu yamanın, daha önce bireysel sürümler için oluşturulmuş ve yayınlanmış tüm düzeltmelerin ve yamaların toplamı olduğu anlamına gelir.

Bu yeni yama ile kullanımdan kaldırılan eski yamalar artık yama bildirim aracında görünmeyecektir. Bazı eski Portal for ArcGIS yamaları, bu yamalar içinde toplanmadıkları ve dolayısıyla ayrı olarak kurulmaları gerektiği durumlarda listelenmeye devam edecektir.

Detaylı bilgi için Esri Türkiye Profesyonel Hizmetler birimi ile irtibata geçiniz.

Esri Türkiye 2021

ArcGIS Enterprise 10.8 Yazılım ve Yama Güncelleme Kontrolü – Kurulumu (Windows)

 

Esri periyodik olarak ArcGIS Enterprise dahil bütün ArcGIS yazılım ve bileşenleri için yama ve güncelleme yayınlar. Her güncelleme e-posta ile bildirilir ve Esri destek web sitesinden duyurulur. Ayrıca güncelleme kontrollerini patchnotification aracı ile gerçekleştirebilirsiniz.

Bu araç makinede kurulu olan ArcGIS Enterprise bileşenleri, rolleri ve eklentileri ile ilgili güncelleme raporlar. Ayrıca kurulmuş yamalar hakkında bilgi verir.

Bu aracı kullanarak yazılımlar için gereken yama ve güncelleme paketlerini seçiminize göre kurup yükleyebilirsiniz.

Not: Bu araç konsol modunda seçim yapılarak kurulumu desteklemez.

Bu aşamaları aşağıdaki gibi yapabilirsiniz.

  • ArcGIS Server sunucusunda oturum açınız.
  • Windows menüsünüden “Başlat >> Bütün Programlar >> ArcGIS >> ArcGIS Server >> Check for ArcGIS Enterprise Updates” üzerinden erişebilirsiniz. Alternatif olarak ArcGIS Server kurulu dizinde (<ArcGIS Server Kurulum Dizini>\tools\patchnotification ) bat  dosyasını bulabilirsiniz.  “-c” parametresiyle konsol üzerinden çalıştırabilirsiniz. Bu işlemleri yönetici yetkisi ile yaptığınızdan emin olun.

  • Güncelleme bilgilerini görüntüleyip ilgili linke tıklayarak indirip kurulum gerçekleştirebilirsiniz.
  • Ayrıca konsol ile çalıştırırken “-i sec” parametresi ile sadece güvenlik yamalarını kurabilirsiniz. Bütün güncellemeleri indirmek ve kurmak için “-i all” paramatresini kullanabilirsiniz.

  • Varsayılan indirme dizini “İndirilenler” dizin olarak tanımlıdır Bunu ayarlar sekmesinden değiştirebilirsiniz. Ayrıca -d paramatresi devamına belirteceğiniz dizin ile belirli bir dizine indirme tanımlayabilirsiniz.

  • İndirme ve kurulum işlemi gerçekleştikten sonra silinmesi için kurulum tamamlantıktan silinmesi için menüden “Delete patch folder” seçeneğinen Always delete after successful installs” seçerek kurulumu yapabilirsiniz. Ayrıca “-o always” parametresi ile komut satırından bu işlemleri gerçekleştirebilirsiniz.

 

Özel çözümler ve profesyonel destek için Esri Türkiye Profesyonel Hizmet birimi ile iletişim kurabilirsiniz.

Nasıl Yapılır: ArcGIS Enterprise Güncellemelerini Otomatikleştirme

Daha önce yayınladığımız “Nasıl Yapılır: ArcGIS Enterprise Güncellemelerini Yüklenmesi” blog yazımızda ArcGIS Enterprise Güncellemelerini 3 farklı yolla nasıl yükleyebileceğinize değinmiştik. Bu yollara ek olarak ArcGIS Enterprise Patch Notification aracını sessiz bir şekilde çalıştıran komutları bir toplu komut dosyası haline getirip CRON ya da Windows Task Scheduler’a ekleyip çalışma zamanlarını belirleyerek daha da zahmetsiz hale getirebilirsiniz.

Bu yazımızda ise Windows işletim sistemine sahip sistemlerde güncellemeleri otomatikleştirme işleminden bahsedeceğiz. Bunun için öncelikle aşağıdaki komut satırı örneğini kullanarak bir komut satırı dosyası hazırlayacağız ve bu dosyayı .cmd uzantılı olacak şekilde kaydedeceğiz.

cd “C:\Program Files\ArcGIS\Server\tools\patchnotification” && call patchnotification.bat -c -i sec

Hazırlanan bu komut satırı dosyasını Windows Task Scheduler içerisinde oluşturacağımız bir kurala atayarak, güncellemeleri belirleyeceğiniz tek seferlik, günlük, haftalık veya aylık periyotlarla indirip kurulmasını sağlayabilirsiniz.

ArcGIS Enterprise’ın kurulu olduğu makinede Başlat>Görev Zamanlayıcı (Start>Task Scheduler) yolunu izleyerek Görev Zamanlayıcı’yı çalıştırabilirsiniz.

Belirleyeceğimiz kuralı içeren bu kısmı organize etmek için “ArcGIS Enterprise Patch” adında yeni bir klasör oluşturarak ilerleyeceğiz.

Yeni bir görev oluşturmak için biraz önce oluşturduğumuz klasöre sağ tıklayarak listeden Create Task’ı seçeceğiz.

Kural oluşturmamız için açılan ekranda ilgili ayarlamaları yaparak kuralımızı tamamlayabiliriz.

General sekmesinde kurala bir ad ve açıklama girmemiz yeterlidir. Bu kısımda önemli olan ArcGIS Enterprise servislerini çalıştıran Windows kullanıcı bilgilerini sağlıyor olmamızdır. Kullanıcı oturum açsa da açmasa da kuralı çalıştırması için de “Run whether user is logged on or not” seçeneğini işaretlememiz ve yönetici olarak çalıştırabilmesi için de “Run with highest privileges” kutucuğunu seçmemiz gerekmektedir.

Triggers sekmesinde bu kuralın ne sıklıkla tetikleneceğini yani ne zaman ve hangi saatlerde çalıştırması gerektiğini belirleyeceğiz. Örnek çalışmamızda Güvenlik (Security) yamalarını kuralı oluşturduğumuz tarihten itibaren, her ayın ilk gününde kontrol edecek ve indirecek şekilde ayarladık.

Bu kısımda dikkat edilmesi gereken nokta ise kuralın çalışmaya devam etmesini istediğiniz süre boyunca “Enabled” kutucuğunun işaretli kalması gerekmektedir.

Actions sekmesinde New butonuyla birlikte, “Start a program” seçeneğiyle ilerleyerek oluşturduğumuz .cmd uzantılı dosyayı tanıtıyoruz.

Conditions sekmesi için önemli olan nokta ise yalnızca dizüstü bilgisayarlar için dikkat edilmesi gereken “Start the task only if the computer is on AC power” ve “Stop if the computer switches to battery power” seçenekleridir. Dizüstü bilgisayarlarda bu seçenekler işaretliyse bilgisayarınızın şarj kablosunun takılı olduğundan emin olunuz.

Settings sekmesi içerisinde de eğer görev bir nedenden dolayı gecikirse en kısa zamanda tekrar çalıştırılmasını istiyorsanız ilgili kutucuğu işaretlemelisiniz.

Siz de kendi kuralınızı oluşturarak güncellemelerinizi otomatikleştirebilirsiniz.

ArcGIS Enterprise ile ilgili daha fazla blog yazısı için https://blog.esri.com.tr/?s=ArcGIS+Enterprise adresini inceleyebilirsiniz.

Esri Türkiye, 2020

2019 ArcGIS Güvenlik Standartları ve Protokolleri  İyileştirmeleri Nelerdir?

2019 ArcGIS Güvenlik Standartları ve Protokolleri İyileştirmeleri Nelerdir?

 

Esri hizmet ve yazılım ürünlerini mümkün olduğunca güvenli kalmasını sağlamak için, kullanılan güvenlik standartlarını ve protokolleri sürekli olarak takip etmekte ve güncellemektedir.Kullanıcılar, SaaS kullanan sistemlerini ve yapılandırmalarını (ArcGIS Online gibi) güncel tutmuyorlarsa, bu durum müşteriler için önemli kesintilere neden olabilir.

2019 boyunca, Esri yazılımlarını etkinleştirilmeden önce farkında olmanız ve hazırlamanız gereken birçok önemli değişiklik planmıştır.

Nisan 2019 – ArcGIS Online TLS 1.0 ve 1.1’in kaldırılması

ArcGIS Online şu anda 1.0, 1.1 ve 1.2 TLS’yi desteklemektedir. Ancak Nisan 2019’da kullanıcıların bağlanması için yalnızca 1.2 TLS protokü kullanılabilecektir. Daha eski protokol sürümleri on yıl önce yayınlandı ve piyasaya sürülmesinden bu yana birçok iyileştirme yapılmasına rağmen TLS 1.2, artık Internet üzerinden şifreli içerik sunmanın en güvenli ve en güvenilir yöntemi olarak kabul edilmektedir.

Ayrıca, PCI Veri Güvenliği Standardı (PCI DSS) ve FedRAMP yetkilendirme programı, SSL / TLS 1.0 uygulamalarının devre dışı bırakılmasını gerektirmektedir. TLS 1.2’yi şiddetle tavsiye etmelerine rağmen, PCI ve FedRAMP tarafından yine de TLS 1.1,  kabul edilecektir. Hem TLS 1.0 hem de 1.1 ile ilgili güvenlik kaygıları ve birden fazla standart kuruluşu tarafından verilen öneriler dikkate alınarak,ileriye yönelik hareket edilerek her iki sürümün de desteği kaldırılacaktır.

ArcGIS Online’a bir tarayıcı üzerinden erişen  kullanıcıların, TLS 1.2’nin en yeni tarayıcı sürümleriyle uyumlu olması nedeniyle herhangi bir ayarlama yapması gerekmemektedir . ArcGIS Pro gibi bazı ArcGIS Online istemcileri zaten TLS 1.2 etkindir.

Aksiyon gerektiren Esri yazılımı,

  • ArcGIS Desktop,
  • ArcGIS Desktop veya ArcGIS Enterprise üzerine geliştirilen uygulamalar,
  • ArcGIS Engine (ArcObjects) ile geliştirilen uygulamalar,
  • ArcGIS Online servilerine erişen eklentiler,

Bu güncellemeden önce gerçekleştirmeniz gerekebilecek daha fazla bilgi ve belirli eylemlere Esri TLS Destek sayfasından  ulaşabilirsiniz.

ArcGIS Enterprise 10.7 versiyonu – Varsayılan ayar olarak TLS 1.0, 1.1 ve HTTP devre dışı

Varsayılan olarak güvenli kurulumların yapılandırılmasına yardımcı olmak için, ArcGIS Enterprise 10.7 sürümü yalnızca TLS 1.2 ile HTTPS etkinleştirilebilecektir.(ArcGIS Enterprise 10.6.1 varsayılan ayar olarak, TLS 1.0’ı devre dışı bırakmaktadır ve ArcGIS Enterprise 10.6.1 önceki sürümlerinde TLS 1.0, 1.1, 1.2, HTTP ve HTTPS’yi kullanımı devam edecektir.)

Müşteri işlemlerinin aksamasını en aza indirmek için, ArcGIS Enterprise versiyon yükseltme yapıldığında HTTP, TLS 1.0 veya 1.1’i devre dışı bırakmayacağını unutmayın.(Önceden var olan yapılandırmada etkinleştirilmişlerse).Güncelleme yapan müşteriler ArcGIS Enterprise kurulumlarını kurulum ayarları dokümanında belirtildiği şekilde yalnızca HTTPS ve TLS 1.2 kullanacak şekilde yapılandırabilir.

Varsayılan olarak güvenli kurulumların geliştirilmesine yardımcı olmak için, yalnızca ArcGIS Enterprise 10.7 sürümünün serbest bırakılması için TLS 1.2 olan HTTPS etkinleştirilir (ArcGIS Enterprise 10.6.1, TLS 1.0’ı devre dışı bırakma varsayılanları ve önceki sürümleri varsayılan olarak TLS 1.0, 1.1, 1.2, HTTP ve HTTPS). Önceki bir ArcGIS Enterprise sürümünden yükseltme yapmanın, müşteri işlemlerinin aksamasını en aza indirmek için HTTP, TLS 1.0 veya 1.1’i (önceden mevcut dağıtımda etkinleştirildiyse) devre dışı bırakmayacağını unutmayın. Güncelleme yapan müşteriler ArcGIS Enterprise dağıtımını yapılandırabilir çevrimiçi yardımda belgelendiği gibi yalnızca HTTPS ve TLS 1.2’yi kullanmak.

Haziran 2019 – ArcGIS Online HTTP kullanımdan kaldırma, yerine HSTS güvenliği getirilmesi

ArcGIS Online kuruluş oluşturma ayarlarında opsiyonel olarak iletişim ayarlarının yapılmasına arayüz üzerinden imkan sağlamıştır.Ancak, ArcGIS Online tüm iletişimleri ve hizmetleri güvenlik protokolleri gereği HTTPS üzerinden olması gerekmektedir. (Eylül 2018 sürümünden sonra ArcGIS Online hesabı üzerinden oluşturulan kuruluşların HTTP ile etkinleştirme yapmalarına izin verilmemektedir).Ek olarak, ArcGIS Online coğrafi kodlama, yönlendirme ve altlık harita gibi tüm paylaşılan servislerle HTTPS tabanlı iletişimi desteklemektedir.

HTTP Strict Transport Security (HSTS) bir güvenlik geliştirmesidir. Bu, web uygulamaları tarafından belirlenen özel bir yanıt başlığı kullanmaktadır. Destekleyen bir internet tarayıcı bu özel yanıt başlığını aldığında, HTTP üzerinden domain alanına herhangi bir iletişim gönderilmesini engellemektedir. Tüm düz metin bağlantılarını otomatik olarak güvenli bağlantılara dönüştürerek bunu sağlamaktadır. Bunun dışında sertifikası uyarılarını devre dışı bırakır.

2017’de ArcGIS Online hesaplarında şeffaf bir şekilde HSTS etkinleştirildi  ve varsayılan ayar olarak tüm iletişim için HTTPS seçimini kullandırılmıştır.Bu, tüm müşteri verilerinin HSTS’nin varsayılan olarak sağladığı ek korumaya sahip olduğu anlamına gelir.

Kuruluş URL’lerine karşı güvenlik testleri (SSLLab’lar gibi) uygulayan müşteriler HSTS’nin etkin olmadığını belirten sonuçları görmeye devam edecektir.Bunun nedeni, tüm ArcGIS Online organizasyonlarının ortak bir statik dosya setine erişmesidir (bazıları HTTP üzerinden erişim ve diğerleri HTTPS üzerinden erişim) ve HSTS için başarısız testlerle sonuçlanan statik dosyalara (müşteri verisine değil) erişilmesidir.

Müşteri verilerinizin güvende olduğu ve bunun, müşteri veri erişim talepleriyle ilgili HSTS başlığını gösterecek olan Fiddler gibi araçlarla  doğrulanabilir ve raprolanabilir.Bu sorun, tüm müşterilerin HTTPS kullanımana geçtiğinde ortadan kalkacaktır.

TLS 1.0 ve 1.1’in kullanımdan kaldırılması, zorlu bir görev olması beklenmektedir.Bu nedenle, tüm ArcGIS Online hesaplarında HTTPS ve HSTS’nin nihai olarak zorunlu etkinleştirilmesi Haziran 2019 ArcGIS Online sürümümüz için planlanmıştır.Bu değişikliğin uygulanması ile , tüm ArcGIS Online kullanıcılarımızın HSTS testlerinden başarılı sonuçlar alacaktır.

Yakın zamanda – Güncellenmesi planlanan güvenlik protokolleri

TLS 1.3 – Bu yeni protokol standardı Ağustos 2018’de tamamlanmıştır. Bu nedenle bulut altyapısı sağlayıcıları tarafından henüz internet tarayıcılar arasında yaygın olarak kullanılmamaktadır.

Gelecekte ArcGIS Online’a dahil edilmesi için TLS 1.3 kullanımı  izlenmeye devam edilecek ve TLS 1.3 uyumlu şifreleme modüllerini bazı ürünlere dahil edilmeye  başlanmıştır. Bu ve benzeri değişiklikleri, ArcGIS Trust Center belgelerinde bulunan ArcGIS SSL / TLS brifingi üzerinden takip edebilirsiniz.