Security settings

general information on this page we listed the parameters and recommendations that may affect the security of various passwork infrastructure components (web server, php, database, etc ) setting maximum values is not always recommended, as it may make passwork less convenient for end users, as well as cause compatibility issues with older operating systems and components change the values as recommended by passwork technical support php settings (php ini) true false 219,106,93false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type web server configuring ssl for the production environment it is mandatory to configure operation over https leave support for tls 1 2 and 1 3 only ssl protocols tlsv1 2 tlsv1 3; recommended set of cryptographic algorithms (older operating systems and browsers such as ie6 or windows xp are not supported) ssl ciphers ecdhe rsa aes256 gcm sha512\ dhe rsa aes256 gcm sha512\ ecdhe rsa aes256 gcm sha384\ dhe rsa aes256 gcm sha384\ ecdhe rsa aes256 sha384; http strict transport security the http strict transport security extension is designed to support this site works only via https setting in browsers it is no longer possible to attack such a resource using a man in the middle attack, because in case of certificate substitution the browser will immediately close the connection and will not allow you to continue using the forged certificate the max age parameter specifies for how many seconds the hsts header should be cached in the browser it is recommended to set it at 31536000 (1 year) or higher add header strict transport security max age=31536000; http public key pinning extension with this extension the resource administrator can specify which certificate authority can be used to sign the certificates to enable this extension, you need to get the fingerprint of the certificate authority that issued our certificate and encode it in base64 the easiest way to do it is as follows openssl x509 in cert pem pubkey noout | \openssl rsa pubin outform der | \openssl dgst sha256 binary | openssl enc base64 here cert pem is the first certificate in the chain that belongs to the certification centre on the output you will get a base64 string turn on the extension and specify the fingerprint of your ca (don't forget to the base64 fingerprint) the max age parameter specifies for how many seconds the fingerprint should be cached in the browser cache it is recommended to use a value that is not too big, since if you change the ca, users will not be able to access passwork before the timeout expires setting up passwork add header public key pins 'pin sha256="5c8kvu039kouvrl52d0ezsgf4onjo4khs8tmytlv3nu="; max age=1512000'; configuring security settings in config ini true false 248,130false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type passwork system parameters true false 256,120false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type false left unhandled content type configuring the mongodb database recommendations for additional customisation examples of authorization settings docid\ nnxs2sinojz0d74hfm4bp