Tokie skaitytojai kaip jūs padeda palaikyti MUO. Kai perkate naudodami nuorodas mūsų svetainėje, galime uždirbti filialų komisinius.
Kai norite apsilankyti svetainėje, jūsų naudojama interneto naršyklė gauna tam tikrus duomenis iš tos svetainės. Dėl to tarp jūsų įrenginio ir svetainės vyksta dialogas. Tai atsitinka naudojant protokolą, vadinamą HTTP. Įsikišus į šį dialogą galima imtis kai kurių papildomų saugumo priemonių.
Jei valdote svetainę arba siekiate žiniatinklio kūrėjo karjeros, HTTP saugos antraštės jums yra neįkainojamos, nes jos atlieka aktyvų vaidmenį tiek vartotojo, tiek svetainės saugoje.
Kas yra HTTP griežtas transportavimo saugumas (HSTS)?
HTTP griežta transporto sauga (HSTS) verčia vartotojus naudoti HTTPS kiekvieną užklausą, kurią jie pateikia savo naršyklėje. Tai yra tvirtas būdas kovoti su kibernetinėmis atakomis, pvz., pažeminimu, ir užtikrinti viso srauto saugumą.
Suaktyvinti HSTS yra gana paprasta. Apsvarstykite dialogą tarp kliento ir serverio. Kai bandote pasiekti svetainę per naršyklę, esate klientas. Svetainė, kurią norite atidaryti, priklauso nuo serverio. Jūsų tikslas yra pasakyti serveriui: „Noriu atidaryti šią svetainę“. Tai užklausos operacija. Kita vertus, serveris nukreipia jus į svetainę, jei atitinkate norimas sąlygas.
Turėkite tai omenyje dėl šios HTTP antraštės vėliavėlės pavyzdžio:
Griežtas transporto saugumas: maksimalus amžius = 16070200;
Kai pridėsite šią žymą prie HTTP atsakymo antraštės informacijos, visos vartotojo sukurtos užklausos taps HTTPS. Kad ir ką vartotojas čia parašytų, naršyklė automatiškai įvertins protokolą kaip HTTPS ir užmegs saugų ryšį.
Kaip naudotis HSTS
Užuot įtraukę visą šią HTTP antraštės informaciją į kodo sluoksnį, galite tai padaryti naudodami Apache, IIS, Nginx, Tomcat ir kitas žiniatinklio serverio programas.
Norėdami įjungti HSTS „Apache“:
LoadModule headers_module modules/mod_headers.so
<„VirtualHost“ *:443>
Antraštė visada rinkinysGriežtas- Transportas-Saugumas "maksimalus amžius = 2592000; includeSubDomains"
</VirtualHost>
Norėdami įjungti HSTS Nginx:
add_header Strict-Transport-Security max-age=2592000; įtraukti subdomenus
Norėdami įjungti HSTS su IIS web.config:
<system.webServer>
<http protokolas>
<tinkintos antraštės>
<pridėti vardą ="Griežtas transportas-saugumas" vertė ="maksimalus amžius = 63072000"/>
</customHeaders>
</httpProtocol>
</system.webServer>
„Cloudflare“ vartotojams
„Cloudflare“ teikia nemokamą HTTPS paslaugą visiems, naudodama berakčių SSL paslaugą; prieš kreipdamiesi dėl HSTS išankstinio įkėlimo, turėtumėte žinoti, kad jūsų sertifikatas jums nepriklauso. Daugelis svetainių naudoja SSL sertifikatus nes tai paprastas būdas apsaugoti duomenis.
Tačiau „Cloudflare“ dabar palaiko HSTS funkciją. Galite suaktyvinti visas HSTS funkcijas, įskaitant išankstinį įkėlimą, naudodami „Cloudflare“ žiniatinklio sąsają, nesistengdami su konfigūracijomis žiniatinklio serveryje.
Kas yra X-Frame-Options?
X-Frame-Options yra saugos antraštė, kurią palaiko visos šiuolaikinės naršyklės. „X-Frame-Options“ siekia apsaugoti nuo paspaudimų vagystės, pvz., „Clickjacking“. Kaip rodo pavadinimas, kalbama apie pažeidžiamo įterpto rėmelio, dar vadinamo iframe, veikimą. Tai yra svetainės elementai, kurie į „pirminę“ svetainę įterpia kitą HTML puslapį, todėl svetainėje galite naudoti turinį iš kitų šaltinių. Tačiau užpuolikai naudoja iframe, kuriuos patys valdo, norėdami priversti vartotojus atlikti veiksmus, kurių jie nenori.
Dėl šios priežasties turite neleisti užpuolikams svetainėje rasti „iframe“.
Kur ir kaip naudoti „X-Frame“ parinktis?
Tai, ką daro X-Frame-Options, kai kurie kūrėjai bando daryti su tokiomis kalbomis kaip JavaScript. Tai nėra visiškai neteisinga. Tačiau rizika vis tiek išlieka, nes daugeliu aspektų parašytų kodų nepakanka. Taigi būtų protinga šią užduotį palikti jūsų naudojamai interneto naršyklei.
Tačiau, kaip kūrėjas, apie X-Frame-Options reikia žinoti tris parametrus:
- Neigti: visiškai neleiskite puslapio iškviesti jokiame iframe.
- PASKIRTIS: neleiskite skambinti jokiam domenui, išskyrus jūsų, „iframe“.
- LEISTI-IŠ uri: Priimkite URI, pateikto kaip parametras, „iframe“ iškvietimus. Blokuoti kitus.
Čia, PASKIRTIS funkcija išsiskiria labiau. Nes nors galite iškviesti programas skirtinguose subdomenuose su „iframe“ vienas kitame, galite neleisti joms iškviesti per užpuoliko valdomą domeną.
Štai pavyzdžiai, kaip galite naudoti SAMEORIGIN ir X-Frame-Options su NGINX, Apache ir IIS:
„X-Frame-Options SAMEORIGIN“ naudojimas „Nginx“:
add_header X-Frame-Options SAMEORIGIN;
„X-Frame-Options SAMEORIGIN“ naudojimas „Apache“:
Antraštė visada pridėkite X-Frame-Options SAMEORIGIN
X-Frame-Options SAMEORIGIN naudojimas IIS:
<http protokolas>
<tinkintos antraštės>
<pridėti vardą ="X-Frame-Options" vertė ="PASKIRTIS" />
</customHeaders>
</httpProtocol>
Vien tik pridėjus SAMEORIGIN antraštę bus užtikrintas didesnis lankytojų saugumas.
Kas yra X-XSS apsauga?
Naudojant X-XSS-Protection antraštės informaciją galima apsaugoti vartotojus nuo XSS atakų. Visų pirma, reikia pašalinti XSS pažeidžiamumas taikymo pusėje. Suteikus kodu pagrįstą saugą, reikalingos papildomos priemonės, pvz., X-XSS-Protection antraštės, apsaugančios nuo XSS pažeidžiamumo naršyklėse.
Kaip naudoti X-XSS apsaugą
Šiuolaikinės naršyklės gali aptikti galimus XSS krovinius filtruodamos programų sukurtą turinį. Šią funkciją galima suaktyvinti naudojant X-XSS-Protection antraštės informaciją.
Norėdami įjungti X-XSS-Protection antraštę Nginx:
add_header X-Frame-X-XSS-Protection 1;
Norėdami įjungti X-XSS-Protection antraštę „Apache“:
Antraštė visada pridėkite X-XSS-Protection 1
Norėdami įjungti X-XSS-Protection antraštę IIS:
<http protokolas>
<tinkintos antraštės>
<pridėti vardą ="X-XSS apsauga" vertė ="1" />
</customHeaders>
</httpProtocol>
Kad pagal numatytuosius nustatymus nebūtų paleistas kodo blokas su XSS ataka, galite naudoti kažką panašaus į šį:
X-XSS apsauga: 1; režimas = blokas
Šį nedidelį pakeitimą reikia atlikti, jei yra potencialiai pavojinga situacija ir norite neleisti, kad visas turinys būtų pateiktas.
Kas yra X-Content-Type-Options?
Naršyklės atlieka žiniatinklio programos pateikto turinio analizę, vadinamą MIME tipo uostymu. Pavyzdžiui, jei yra užklausa dėl prieigos prie PDF failo arba PNG failo, naršyklės, kurios atlieka HTTP atsako analizę, nustato failo tipą.
Apsvarstykite failą su jpeg plėtiniu, bet kuriame iš tikrųjų yra teksto / HTML turinio. Panaudojus plėtinius ir perdavus apsaugą įkėlimo modulyje, failas sėkmingai įkeliamas. Įkeltas failas iškviečiamas naudojant URL, o MIME tipo sniffing grąžina tekstą / HTML. Jis pateikia turinį kaip HTML. Tada atsiranda XSS pažeidžiamumas.
Taigi turite neleisti naršyklėms apsispręsti dėl turinio pagal MIME tipo uostymą. Norėdami tai padaryti, galite naudoti nosniff.
„X-Content-Type-Options“ antraštė, skirta „Nginx“:
add_header X-Content-Type-Options nosniff;
X-Content-Type-Options antraštė, skirta Apache:
Antraštė visada X-Content-Type-Options nosniff
X-Content-Type-Options antraštė, skirta IIS:
<http protokolas>
<tinkintos antraštės>
<pridėti vardą ="X-Content-Type-Options" vertė ="nosis" />
</customHeaders>
</httpProtocol>
Kas yra „HttpOnly“ slapuko vėliavėlė?
Žiniatinklio programos stebi vartotojų sesijas naudodamos seanso ID. Naršyklės tai išsaugos ir automatiškai pridės prie kiekvienos slapuko taikymo srities HTTP užklausos.
Tai yra įmanoma naudoti slapukus tam tikriems tikslams išskyrus seanso rakto perdavimą. Įsilaužėliai gali sužinoti vartotojo duomenis naudodami anksčiau minėtą XSS pažeidžiamumą arba per Cross-Site Request Forgery (CSRF) ataką. Taigi, kurie slapukai yra svarbiausi saugumo požiūriu?
Kaip pavyzdį galite laikyti informaciją, esančią paskutiniame paveikslėlyje, kurį spustelėjote vaizdų galerijoje. Tokiu būdu HTTP srautas yra mažesnis, o dalį apkrovos gali išspręsti vartotojo interneto naršyklė su kliento scenarijais.
Štai kur HttpOnly įeina. Toliau pateikiamas pavyzdys, kaip turėtų būti priskirtas slapukas:
Nustatyti-Slapukas: Vartotojas=t=cdabe8a1c2153d726; kelias=/; HttpOnly
Atkreipkite dėmesį į HttpOnly reikšmę, išsiųstą Nustatyti-slapukas operacija. Naršyklė tai matys ir neapdoros reikšmių su žyma HttpOnly, kai slapukas pasiekiamas per dokumentas.slapukas kintamasis. Kita žyma, naudojama slapukų nustatymo procese, yra saugi vėliavėlė. Tai rodo, kad slapuko reikšmė bus įtraukta į antraštę tik HTTPS užklausoms. Elektroninės prekybos svetainės dažniausiai ją naudoja, nes nori sumažinti tinklo srautą ir padidinti našumą.
Naudodami šį metodą galite paslėpti svarbius vartotojų duomenis, pvz., naudotojų vardus, slaptažodžius ir kredito kortelės informaciją. Tačiau yra problema. Vartotojams, kurie užbaigia prisijungimo procesą, priskiriama slapuko reikšmė be saugios vėliavėlės. Vartotojas gali turėti seanso raktą, kai pateikia HTTP užklausą ne HTTPS nuorodoms. Pridėti saugią vėliavėlę paprasta:
Nustatyti-Slapukas: Vartotojas=t=cdabe8a1c2153d726; kelias=/; Saugus
Kada neturėtumėte naudoti „HttpOnly“? Jei pasitikite „Javascript“, turėtumėte būti atsargūs, nes dėl to jūsų svetainė gali būti mažiau saugi.
Maži žingsneliai padeda užtikrinti platesnę žiniatinklio apsaugą
Jums nereikia pažangios programinės įrangos ir serverio žinių, kad padidintumėte žiniatinklio programų saugumą. Pakeitę tik kelias eilutes, galite išvengti rimtų išpuolių. Žinoma, to neužtenka. Tačiau tai nedidelis, bet efektyvus žingsnis siekiant svetainės saugumo. Žinios yra geriausia prevencija, todėl taip pat naudinga žinoti subtilius niuansus, kaip HTTPS apsaugo duomenis perduodant.
