Parameter:
HTTPDisableTRACEKurzbeschreibung: Deaktiviert die HTTP-TRACE-Methode auf dem Webserver – wichtiges Sicherheits-Hardening gegen Cross-Site-Tracing (XST).
Steckbrief
Parameter | HTTPDisableTRACE |
Kategorie | HTTP / Web |
Komponente | Server |
Verfügbar seit | 9.0.1 |
Unterstützte Versionen | 9.0.1, 10.0, 11.0, 12.0, 14.0, 14.5, 14.5.1 |
GUI-Entsprechung | Konfigurations-Dokument |
Mögliche Werte | 0 = TRACE erlaubt (Standard), 1 = TRACE blockiert |
Beschreibung
Die HTTP-Methode
TRACE echo't den Request inkl. aller Header zurück. In Kombination mit Cross-Site-Scripting kann das missbraucht werden, um Cookies oder Auth-Header auszuleiten (Cross-Site-Tracing/XST). HTTPDisableTRACE=1 weist den Domino-HTTP-Task an, TRACE-Requests konsequent mit 405 Method Not Allowed (bzw. 403) abzulehnen. Standard-Hardening für alle öffentlich erreichbaren Domino-Webserver.Beispiel-Konfiguration
HTTPDisableTRACE=1
Hinweise & Stolperfallen
- Wird häufig von Pen-Testing-/Compliance-Tools (Qualys, Nessus, OWASP-Checks) explizit geprüft.
- Diagnose-Tools, die TRACE legitim verwenden, sind sehr selten – Auswirkung praktisch null.
- Wirkt nach HTTP-Restart (
tell http restart).
- Ergänzt sich gut mit
HTTPDisableXFrameOptions=0,HTTP_SESSION_COOKIES_SECURE=1, HSTS und CSP-Headern für ein konsistentes Hardening-Profil.