Teiesugused lugejad aitavad MUO-d toetada. Kui teete ostu meie saidil olevate linkide abil, võime teenida sidusettevõtte komisjonitasu.
Kui soovite mõnda veebisaiti külastada, saab teie kasutatav Interneti-brauser sellelt saidilt teatud andmeid. Selle tulemusena tekib teie seadme ja veebisaidi vahel dialoog. See juhtub HTTP-nimelise protokolliga. Sellesse dialoogi sekkudes on võimalik võtta täiendavaid turvameetmeid.
Kui teil on veebisait või teie eesmärk on veebiarendaja karjääri, on HTTP turvapäised teile hindamatu väärtusega, kuna neil on aktiivne roll nii kasutaja kui ka veebisaidi turvalisuse tagamisel.
Mis on HTTP range transporditurvalisus (HSTS)?
HTTP range transpordi turvalisus (HSTS) sunnib kasutajaid kasutama HTTPS-i iga brauseris tehtud päringu jaoks. See on kindel viis võidelda küberrünnakutega, nagu allahindlused, ja tagada kogu liikluse turvalisus.
HSTS-i aktiveerimine on üsna lihtne. Mõelge dialoogile kliendi ja serveri vahel. Kui proovite brauseri kaudu saidile juurde pääseda, olete klient. Sait, mida soovite avada, sõltub serverist. Teie eesmärk on öelda serverile: "Ma tahan selle saidi avada". See on päringu toiming. Server seevastu suunab teid saidile, kui vastate soovitud tingimustele.
Selle HTTP päise lipu näidisega seoses pidage seda meeles:
Range transpordi turvalisus: max-vanus = 16070200;
Kui lisate selle lipu HTTP-vastuse päise teabele, muutuvad kõik kasutaja loodud päringud HTTPS-iks. Ükskõik, mida kasutaja siia kirjutab, hindab brauser protokolli automaatselt HTTPS-iks ja loob turvalise ühenduse.
Kuidas HSTS-i kasutada
Selle asemel, et lisada kogu see HTTP päise teave koodikihti, saate seda teha Apache, IIS, Nginx, Tomcat ja muudes veebiserveri rakendustes.
HSTS-i lubamiseks Apache'is:
LoadModule headers_module modules/mod_headers.so
<VirtualHost *:443>
Päis alati seatudRange-transport-Turvalisus "maksimaalne vanus = 2592000; includeSubDomains"
</VirtualHost>
HSTS-i lubamiseks Nginxis:
add_header Strict-Transport-Security max-vanus=2592000; sisaldab alamdomeene
HSTS-i lubamiseks IIS-i web.config-iga:
<system.webServer>
<http Protokoll>
<kohandatud päised>
<lisa nimi="Range transpordi-turvalisus" väärtus="maksimaalne vanus = 63072000"/>
</customHeaders>
</httpProtocol>
</system.webServer>
Cloudflare'i kasutajatele
Cloudflare pakub oma võtmeta SSL-teenusega kõigile tasuta HTTPS-teenust; enne HSTS-i eellaadimise taotlemist peaksite teadma, et teie sertifikaat ei kuulu teile. Paljud saidid kasutavad SSL-sertifikaate sest need on lihtne viis andmete turvalisuse tagamiseks.
Kuid Cloudflare nüüd toetab HSTS-funktsiooni. Saate aktiveerida kõik HSTS-i funktsioonid, sealhulgas eellaadimise, Cloudflare'i veebiliidese kaudu, ilma et peaksite veebiserveri konfiguratsioonidega jändama.
Mis on X-Frame-Options?
X-Frame-Options on turvapäis, mida toetavad kõik kaasaegsed brauserid. X-Frame-Optionsi eesmärk on kaitsta klikkide varguse, nagu Clickjacking, eest. Nagu nimigi viitab, puudutab see haavatava sisemise raami, mida tuntakse ka kui iframe’i, tööd. Need on saidi elemendid, mis manustavad emasaidile teise HTML-lehe, nii et saate oma saidil kasutada muudest allikatest pärit sisu. Ründajad aga kasutavad iframe oma kontrolli all, et panna kasutajad tegema toiminguid, mida nad ei taha.
Sel põhjusel peate takistama ründajatel saidilt iframe'ide leidmist.
Kus ja kuidas kasutada X-Frame-Options?
Mida X-Frame-Options teeb, proovivad mõned arendajad teha selliste keeltega nagu JavaScript. See pole täiesti vale. Siiski on risk siiski olemas, sest paljudes aspektides kirjutatud koodidest ei piisa. Seega oleks mõistlik jätta see ülesanne kasutatavale internetibrauserile.
Arendajana on aga X-Frame-Optionsi kohta vaja teada kolme parameetrit:
- Keela: täielikult takistada lehe kutsumist mis tahes iframe'is.
- SAMAPÄRITOLU: takistage iframe'is helistamast mis tahes muule domeenile peale teie oma.
- ALLOW-FROM uri: Aktsepteerige parameetrina antud URI iframe-kõnesid. Blokeeri teised.
Siin, SAMAPÄRITOLU funktsioon paistab rohkem silma. Sest kuigi saate helistada erinevates alamdomeenides olevatele rakendustele, mille iframe on üksteise sees, saate takistada nende kutsumist ründaja kontrolli all oleva domeeni kaudu.
Siin on näited SAMEORIGINi ja X-Frame-Options kasutamise kohta NGINX-i, Apache'i ja IIS-iga.
X-Frame-Options SAMEORIGIN kasutamine Nginxi jaoks:
add_header X-Frame-Options SAMEORIGIN;
X-Frame-Options SAMEORIGIN kasutamine Apache jaoks:
Päisele lisatakse alati X-Frame-Options SAMEORIGIN
X-Frame-Options SAMEORIGIN kasutamine IIS-i jaoks:
<http Protokoll>
<kohandatud päised>
<lisa nimi="X-Frame-Options" väärtus="SAMAPÄRITOLU" />
</customHeaders>
</httpProtocol>
Ainuüksi SAMEORIGIN päise lisamine tagab teie külastajatele suurema turvalisuse.
Mis on X-XSS-kaitse?
X-XSS-Protectioni päise teabe kasutamine võib kaitsta kasutajaid XSS-i rünnakute eest. Esiteks peate kõrvaldama XSS-i haavatavused rakenduse poolel. Pärast koodipõhise turbe pakkumist on brauserite XSS-i haavatavuste vastu vaja täiendavaid meetmeid, st X-XSS-Protection päised.
Kuidas kasutada X-XSS-kaitset
Kaasaegsed brauserid suudavad tuvastada potentsiaalseid XSS-i kasulikke koormusi, filtreerides rakenduste loodud sisu. Seda funktsiooni on võimalik aktiveerida X-XSS-Protectioni päise teabega.
Päise X-XSS-Protection lubamiseks Nginxis tehke järgmist.
add_header X-Frame-X-XSS-Protection 1;
Päise X-XSS-Protection lubamiseks Apache'is tehke järgmist.
Päisele lisatakse alati X-XSS-Protection 1
Päise X-XSS-Protection lubamiseks IIS-is tehke järgmist.
<http Protokoll>
<kohandatud päised>
<lisa nimi="X-XSS-kaitse" väärtus="1" />
</customHeaders>
</httpProtocol>
Vaikimisi XSS-rünnakuga koodiploki käivitamise vältimiseks võite kasutada midagi sellist:
X-XSS-kaitse: 1; mode=blokk
See väike muudatus tuleb teha potentsiaalselt ohtliku olukorra korral ja soovite takistada kogu sisu renderdamist.
Mis on X-Content-Type-Options?
Brauserid viivad läbi analüüsi nimega MIME Type Sniffing sisu kohta, mida veebirakendus neile esitab. Näiteks kui on olemas taotlus juurdepääsuks PDF- või PNG-failile, järeldavad HTTP-vastuse analüüsi teostavad brauserid failitüübi.
Mõelge failile, millel on jpeg-laiend, kuid millel on tegelikult teksti-/HTML-sisu. Pärast laienduste kasutamist ja kaitsete läbimist üleslaadimismoodulis laaditakse fail edukalt üles. Üleslaaditud faili kutsutakse URL-i kaudu ja MIME-tüübi nuusutamine tagastab selle tulemusel teksti/HTML-i. See muudab sisu HTML-vormingus. Siis ilmneb XSS-i haavatavus.
Seega peate takistama brausereid sisu üle otsustamast MIME-tüübi nuusutamise järgi. Selleks võite kasutada nosniffi.
X-Content-Type-Options päis Nginxi jaoks:
add_header X-Content-Type-Options nosniff;
X-Content-Type-Options päis Apache jaoks:
Päis alati X-Content-Type-Options nosniff
IIS-i X-Content-Type-Options päis:
<http Protokoll>
<kohandatud päised>
<lisa nimi="X-sisu tüübi valikud" väärtus="nosutama" />
</customHeaders>
</httpProtocol>
Mis on HttpOnly küpsise lipp?
Veebirakendused jälgivad kasutajate seansse seansi ID kaudu. Brauserid salvestavad selle ja lisavad selle automaatselt igale HTTP-päringule küpsise ulatuses.
See on võimalik kasutada küpsiseid eesmärkidel välja arvatud seansivõtme ülekandmine. Häkkerid saavad kasutajaandmeid teada saada, kasutades ülalmainitud XSS-i haavatavust või saidiülese päringu võltsimise (CSRF) rünnakut. Millised küpsised on turvalisuse seisukohast kõige olulisemad?
Näitena võite võtta pildigaleriis viimati klõpsatud pildil sisalduvat teavet. Nii on HTTP-liiklust väiksem ja osa koormusest saab lahendada kasutaja internetibrauser kliendipoolse skriptimisega.
See on koht HttpOnly tuleb sisse. Allpool on näide küpsiste määramise kohta:
Määra- Küpsis: kasutaja=t=cdabe8a1c2153d726; tee=/; HttpOnly
Pange tähele HttpOnly väärtust, mis on saadetud Määra-küpsis operatsiooni. Brauser näeb seda ega töötle HttpOnly lipuga väärtusi, kui küpsisele pääseb juurde document.cookie muutuv. Teine Set-Cookie protsessis kasutatav lipp on Secure lipp. See näitab, et küpsise väärtus lisatakse päisesse ainult HTTPS-i päringute puhul. E-kaubanduse saidid kasutavad seda tavaliselt, kuna soovivad vähendada võrguliiklust ja suurendada jõudlust.
Seda meetodit kasutades saate peita kasutajate olulised andmed, nagu kasutajanimed, paroolid ja krediitkaarditeave. Kuid on probleem. Kasutajatele, kes lõpetavad sisselogimisprotsessi, määratakse küpsise väärtus ilma turvaliputa. Kasutajal võib olla seansivõti, kui ta esitab HTTP-päringu mitte-HTTPS-linkidele. Turvalipu lisamine on lihtne:
Määra- Küpsis: kasutaja=t=cdabe8a1c2153d726; tee=/; Turvaline
Millal ei tohiks HttpOnly kasutada? Kui usaldate Javascripti, peaksite olema ettevaatlik, kuna see võib teie saidi muuta vähem turvaliseks.
Väikesed sammud töötavad laiema veebiturvalisuse nimel
Veebirakenduste turvalisuse suurendamiseks ei ole teil vaja täiustatud tarkvara ja serveriteadmisi. Vaid mõne rea muutmisega saate vältida tõsiseid rünnakuid. Sellest muidugi ei piisa. See on aga väike, kuid tõhus samm veebisaidi turvalisuse nimel. Teadmised on parim ennetus, seega on kasulik teada ka peeneid nüansse, kuidas HTTPS andmeid edastamise ajal kaitseb.