Читаоци попут вас помажу у подршци МУО. Када обавите куповину користећи везе на нашем сајту, можда ћемо зарадити провизију за партнере.
Када желите да посетите веб локацију, интернет претраживач који користите прима неке податке са тог сајта. Као резултат, долази до дијалога између вашег уређаја и веб локације. Ово се дешава са протоколом који се зове ХТТП. Интервенцијом у овом дијалогу могуће је предузети неке додатне мере безбедности.
Ако имате веб локацију или имате за циљ каријеру веб програмера, ХТТП безбедносна заглавља су вам непроцењива, јер играју активну улогу у безбедности и корисника и веб локације.
Шта је ХТТП Стрицт-Транспорт-Сецурити (ХСТС)?
ХТТП Стрицт Транспорт Сецурити (ХСТС) приморава кориснике да користе ХТТПС за сваки захтев који упућују у свом претраживачу. Ово је солидан начин да се борите против сајбер напада као што су снижавање и да се осигура безбедност целокупног саобраћаја.
Активирање ХСТС-а је прилично једноставно. Размотрите дијалог између клијента и сервера. Када покушате да приступите сајту преко свог претраживача, ви сте клијент. Сајт који желите да отворите зависи од сервера. Ваш циљ је да кажете серверу: „Желим да отворим овај сајт“. Ово је операција захтева. Сервер вас, пак, упућује на сајт ако испуњавате жељене услове.
Имајте ово на уму у вези са овом примером ознаке ХТТП заглавља:
Стрицт-Транспорт-Сецурити: мак-аге=16070200;
Када додате ову заставицу информацијама заглавља ХТТП одговора, сви кориснички генерисани захтеви ће постати ХТТПС. Шта год корисник овде напише, претраживач ће аутоматски проценити протокол као ХТТПС и успоставити безбедну везу.
Како користити ХСТС
Уместо додавања свих ових информација за ХТТП заглавље у слој кода, то можете учинити на Апацхе, ИИС, Нгинк, Томцат и другим апликацијама веб сервера.
Да бисте омогућили ХСТС у Апацхе-у:
ЛоадМодуле хеадерс_модуле модулес/мод_хеадерс.со
<ВиртуалХост *:443>
Заглавље увек комплетСтроги-Транспорт-Безбедност „мак-аге=2592000; инцлудеСубДомаинс"
</VirtualHost>
Да бисте омогућили ХСТС у Нгинк-у:
адд_хеадер Стрицт-Транспорт-Сецурити мак-аге=2592000; инцлудеСубдомаинс
Да бисте омогућили ХСТС са ИИС веб.цонфиг:
<систем.вебСервер>
<хттпПротоцол>
<цустомХеадерс>
<додај име="Строга-Транспорт-Безбедност" валуе="мак-аге=63072000"/>
</customHeaders>
</httpProtocol>
</system.webServer>
За кориснике Цлоудфларе-а
Цлоудфларе пружа бесплатну ХТТПС услугу за све са својом ССЛ услугом без кључа; пре него што се пријавите за ХСТС прелоад, требало би да знате да ваш сертификат не припада вама. Многи сајтови користе ССЛ сертификате јер су једноставан начин да се подаци чувају.
Међутим, Цлоудфларе сада подржава ХСТС функцију. Можете да активирате све ХСТС функције, укључујући претходно учитавање, преко Цлоудфларе веб интерфејса без муке са конфигурацијама на веб серверу.
Шта је Кс-Фраме-Оптионс?
Кс-Фраме-Оптионс је безбедносно заглавље које подржавају сви модерни претраживачи. Кс-Фраме-Оптионс има за циљ да заштити од крађе кликова као што је Цлицкјацкинг. Као што име каже, ради се о раду рањивог инлине оквира, познатог и као ифраме. Ово су елементи на сајту који уграђују другу ХТМЛ страницу у „матични“ сајт, тако да можете да користите садржај из других извора на свом сајту. Али нападачи користе ифраме под својом контролом како би натерали кориснике да изврше радње које не желе.
Из тог разлога, морате спречити нападаче да пронађу ифраме на сајту.
Где и како користити Кс-Фраме-опције?
Оно што Кс-Фраме-Оптионс ради, неки програмери покушавају да ураде са језицима као што је ЈаваСцрипт. Ово није сасвим погрешно. Међутим, и даље постоји ризик јер кодови написани у многим аспектима нису довољни. Зато би било паметно да овај задатак препустите интернет претраживачу који користите.
Међутим, као програмер, постоје три параметра која треба да знате о Кс-Фраме-Оптионс:
- негирати: Потпуно спречите позивање странице у било ком ифраме-у.
- САМЕОРИГИН: Спречите било који домен осим вашег да позива унутар ифраме-а.
- ДОЗВОЛИ-ОД ури: Прихватите ифраме позиве за УРИ дат као параметар. Блокирајте друге.
Ево, САМЕОРИГИН карактеристика се више истиче. Јер иако можете да позивате апликације на својим различитим поддоменима са ифраме-овима један у другом, можете спречити њихово позивање преко домена под контролом нападача.
Ево примера како можете да користите САМЕОРИГИН и Кс-Фраме-Оптионс са НГИНКС, Апацхе и ИИС:
Коришћење Кс-Фраме-Оптионс САМЕОРИГИН за Нгинк:
адд_хеадер Кс-Фраме-Оптионс САМЕОРИГИН;
Коришћење Кс-Фраме-Оптионс САМЕОРИГИН за Апацхе:
Заглавље увек додаје Кс-Фраме-Опције САМЕОРИГИН
Коришћење Кс-Фраме-Оптионс САМЕОРИГИН за ИИС:
<хттпПротоцол>
<цустомХеадерс>
<додај име="Кс-Фраме-Опције" валуе="САМЕОРИГИН" />
</customHeaders>
</httpProtocol>
Само додавање САМЕОРИГИН заглавља обезбедиће већу сигурност за ваше посетиоце.
Шта је Кс-КССС-заштита?
Коришћење информација заглавља Кс-КССС-Протецтион може заштитити кориснике од КССС напада. Прво, морате елиминисати КССС рањивости на страни апликације. Након обезбеђивања безбедности засноване на коду, потребне су даље мере, тј. заглавља Кс-КССС-Протецтион, против КССС рањивости у претраживачима.
Како користити Кс-КССС-Протецтион
Савремени претраживачи могу открити потенцијалне КССС корисне садржаје филтрирањем садржаја генерисаног апликацијама. Ову функцију је могуће активирати помоћу информација заглавља Кс-КССС-Протецтион.
Да бисте омогућили заглавље Кс-КССС-Протецтион у Нгинк-у:
адд_хеадер Кс-Фраме-Кс-КССС-Протецтион 1;
Да бисте омогућили заглавље Кс-КССС-Протецтион у Апацхе-у:
Заглавље увек додаје Кс-КССС-Протецтион 1
Да бисте омогућили заглавље Кс-КССС-Протецтион у ИИС-у:
<хттпПротоцол>
<цустомХеадерс>
<додај име="Кс-КССС-Протецтион" валуе="1" />
</customHeaders>
</httpProtocol>
Да бисте спречили да се блок кода са КССС нападом подразумевано покрене, можете користити нешто овако:
Кс-КССС-Протецтион: 1; мод=блок
Ову мању измену треба направити ако постоји потенцијално опасна ситуација и желите да спречите приказивање целокупног садржаја.
Шта је Кс-Цонтент-Типе-Оптионс?
Прегледачи врше анализу под називом МИМЕ Типе Сниффинг на садржају који им представља веб апликација. На пример, ако постоји захтев за приступ ПДФ датотеци или ПНГ датотеци, прегледачи који врше анализу ХТТП одговора закључују тип датотеке.
Размотрите датотеку са екстензијом јпег, али која заправо има текстуални/ХТМЛ садржај. Након коришћења екстензија и прослеђивања заштите у модулу за отпремање, датотека се успешно отпрема. Отпремљена датотека се позива преко УРЛ-а и њушкање МИМЕ типа враћа текст/ХТМЛ као резултат. Он приказује садржај као ХТМЛ. Тада се јавља КССС рањивост.
Дакле, морате да спречите претраживаче да одлучују о садржају њушкањем МИМЕ типа. Да бисте то урадили, можете користити носнифф.
Заглавље Кс-Цонтент-Типе-Оптионс за Нгинк:
адд_хеадер Кс-Цонтент-Типе-Оптионс носнифф;
Заглавље Кс-Цонтент-Типе-Оптионс за Апацхе:
Заглавље увек Кс-Цонтент-Типе-Оптионс носнифф
Заглавље Кс-Цонтент-Типе-Оптионс за ИИС:
<хттпПротоцол>
<цустомХеадерс>
<додај име="Кс-Цонтент-Типе-Оптионс" валуе="носнифф" />
</customHeaders>
</httpProtocol>
Шта је ХттпОнли ознака колачића?
Веб апликације прате сесије корисника преко ИД-а сесије. Претраживачи ће то сачувати и аутоматски додати сваком ХТТП захтеву у оквиру колачића.
Могуће је да користите колачиће у сврхе осим преноса кључа сесије, међутим. Хакери би могли да сазнају корисничке податке користећи горе поменуту КССС рањивост или путем напада на фалсификовање захтева на више локација (ЦСРФ). Дакле, који колачићи су најважнији у смислу безбедности?
Можете узети у обзир информације садржане на последњој слици на коју сте кликнули у галерији слика као пример. На овај начин, ХТТП саобраћај је мањи и део оптерећења се може решити помоћу интернет претраживача корисника уз скриптовање на страни клијента.
Ето где ХттпОнли долази у. Испод је пример како би додела колачића требало да буде:
Комплет-Колачић: корисник=т=цдабе8а1ц2153д726; патх=/; ХттпОнли
Обратите пажњу на ХттпОнли вредност послату у Сет-Цоокие операција. Прегледач ће то видети и неће обрадити вредности са ХттпОнли заставицом када се колачићу приступа преко документ.колачић променљива. Још једна ознака која се користи у процесу Сет-Цоокие је Сецуре флаг. Ово указује да ће вредност колачића бити додата у заглавље само за ХТТПС захтеве. Сајтови за е-трговину га обично користе јер желе да смање мрежни саобраћај и повећају перформансе.
Користећи овај метод, можете сакрити кључне податке корисника као што су корисничка имена, лозинке и информације о кредитној картици. Али постоји проблем. Корисницима који заврше процес пријављивања додељује се вредност колачића без ознаке Безбедност. Корисник може имати кључ сесије када упути ХТТП захтев ка не-ХТТПС везама. Додавање безбедне заставе је једноставно:
Комплет-Колачић: корисник=т=цдабе8а1ц2153д726; патх=/; Сецуре
Када не би требало да користите ХттпОнли? Ако се ослањате на Јавасцрипт, требало би да будете опрезни јер то може учинити вашу веб локацију мање безбедном.
Мали кораци раде за безбедност ширег веба
Није вам потребно напредно знање о софтверу и серверу да бисте повећали безбедност веб апликација. Променом само неколико линија, можете спречити неке озбиљне нападе. Наравно, ово није довољно. Међутим, то је мали, али ефикасан корак за безбедност веб локације. Знање је најбоља превентива, па је такође корисно знати суптилне нијансе како ХТТПС штити податке током преноса.
