Tādi lasītāji kā jūs palīdz atbalstīt MUO. Veicot pirkumu, izmantojot saites mūsu vietnē, mēs varam nopelnīt filiāles komisiju.
Kad vēlaties apmeklēt vietni, jūsu izmantotā interneta pārlūkprogramma saņem dažus datus no šīs vietnes. Tā rezultātā starp jūsu ierīci un vietni notiek dialogs. Tas notiek ar protokolu, ko sauc par HTTP. Ir iespējams veikt dažus papildu drošības pasākumus, iejaucoties šajā dialogā.
Ja vadāt vietni vai plānojat tīmekļa izstrādātāja karjeru, HTTP drošības galvenes jums ir nenovērtējamas, jo tām ir aktīva loma gan lietotāja, gan vietnes drošībā.
Kas ir HTTP stingrā transporta drošība (HSTS)?
HTTP stingrā transporta drošība (HSTS) liek lietotājiem izmantot HTTPS katram pieprasījumam, ko viņi veic savā pārlūkprogrammā. Tas ir labs veids, kā cīnīties pret kiberuzbrukumiem, piemēram, pazemināšanu, un nodrošināt visas satiksmes drošību.
HSTS aktivizēšana ir diezgan vienkārša. Apsveriet dialogu starp klientu un serveri. Mēģinot piekļūt vietnei, izmantojot pārlūkprogrammu, jūs esat klients. Vietne, kuru vēlaties atvērt, ir atkarīga no servera. Jūsu mērķis ir pateikt serverim: "Es vēlos atvērt šo vietni". Šī ir pieprasījuma darbība. No otras puses, serveris novirza jūs uz vietni, ja atbilstat vēlamajiem nosacījumiem.
Paturiet to prātā saistībā ar šo HTTP galvenes karoga paraugu:
Stingra transporta drošība: max-age=16070200;
Pievienojot šo karogu HTTP atbildes galvenes informācijai, visi lietotāja ģenerētie pieprasījumi kļūs par HTTPS. Neatkarīgi no tā, ko lietotājs šeit raksta, pārlūkprogramma automātiski novērtēs protokolu kā HTTPS un izveidos drošu savienojumu.
Kā lietot HSTS
Tā vietā, lai koda slānī pievienotu visu šo HTTP galvenes informāciju, varat to izdarīt Apache, IIS, Nginx, Tomcat un citās tīmekļa servera lietojumprogrammās.
Lai iespējotu HSTS programmā Apache:
LoadModule headers_module modules/mod_headers.so
<VirtualHost *:443>
Virsraksts vienmēr komplektsStingri-Transports-Drošība "maksimālais vecums = 2592000; iekļaut apakšdomēnus"
</VirtualHost>
Lai iespējotu HSTS Nginx:
add_header Strict-Transport-Security max-age=2592000; ietver apakšdomēnus
Lai iespējotu HSTS ar IIS web.config:
<system.webServer>
<http Protokols>
<pielāgotas galvenes>
<pievienot vārdu ="Stingrā transporta drošība" vērtība="maksimālais vecums = 63072000"/>
</customHeaders>
</httpProtocol>
</system.webServer>
Cloudflare lietotājiem
Cloudflare nodrošina bezmaksas HTTPS pakalpojumu ikvienam ar savu Keyless SSL pakalpojumu; pirms pieteikšanās HSTS priekšielādēšanai, jums jāzina, ka jūsu sertifikāts jums nepieder. Daudzas vietnes izmanto SSL sertifikātus jo tie ir vienkāršs veids, kā nodrošināt datu drošību.
Tomēr Cloudflare tagad atbalsta HSTS funkciju. Varat aktivizēt visas HSTS funkcijas, tostarp priekšielādēšanu, izmantojot Cloudflare tīmekļa saskarni, bez problēmām ar tīmekļa servera konfigurācijām.
Kas ir X-Frame-Options?
X-Frame-Options ir drošības galvene, ko atbalsta visas mūsdienu pārlūkprogrammas. X-Frame-Options mērķis ir aizsargāt pret klikšķu zādzību, piemēram, Clickjacking. Kā norāda nosaukums, runa ir par ievainojama iekļautā rāmja, kas pazīstams arī kā iframe, darbību. Tie ir vietnes elementi, kas iegulst citu HTML lapu “sākumvietnē”, lai savā vietnē varētu izmantot saturu no citiem avotiem. Taču uzbrucēji savā kontrolē izmanto iframe, lai liktu lietotājiem veikt darbības, kuras viņi nevēlas.
Šī iemesla dēļ jums ir jānovērš uzbrucēju iespēja vietnē atrast iframe.
Kur un kā izmantot X-Frame-Options?
Tas, ko dara X-Frame-Options, daži izstrādātāji cenšas darīt ar tādām valodām kā JavaScript. Tas nav pilnīgi nepareizi. Tomēr joprojām pastāv risks, jo daudzos aspektos rakstītie kodi nav pietiekami. Tāpēc būtu prātīgi atstāt šo uzdevumu izmantotajai interneta pārlūkprogrammai.
Tomēr kā izstrādātājam par X-Frame-Options ir jāzina trīs parametri:
- Noliegt: pilnībā novērsiet lapas izsaukšanu jebkurā iframe.
- SAMEIZCELSMES: neļaujiet kādam citam domēnam zvanīt iframe ietvaros.
- ATĻAUJ-NO uri: pieņemt URI iframe izsaukumus, kas norādīti kā parametrs. Bloķēt citus.
Lūk, SAMEIZCELSMES funkcija izceļas vairāk. Tā kā, lai gan jūs varat izsaukt lietojumprogrammas savos dažādos apakšdomēnos, kuros iframe ir viens otrā, varat novērst to izsaukšanu, izmantojot uzbrucēja kontrolēto domēnu.
Šeit ir piemēri, kā varat izmantot SAMEORIGIN un X-Frame-Options ar NGINX, Apache un IIS:
Izmantojot X-Frame-Options SAMEORIGIN for Nginx:
add_header X-Frame-Options SAMEORIGIN;
X-Frame-Options SAMEORIGIN izmantošana darbam ar Apache:
Galvenei vienmēr pievieno X-Frame-Options SAMEORIGIN
X-Frame-Options SAMEORIGIN izmantošana IIS:
<http Protokols>
<pielāgotas galvenes>
<pievienot vārdu ="X-Frame-Options" vērtība="SAMEIZCELSMES" />
</customHeaders>
</httpProtocol>
Vienkārši pievienojot galveni SAMEORIGIN, jūsu apmeklētājiem tiks nodrošināta lielāka drošība.
Kas ir X-XSS aizsardzība?
Izmantojot X-XSS-Protection galvenes informāciju, var aizsargāt lietotājus no XSS uzbrukumiem. Pirmkārt, jums ir jānovērš XSS ievainojamības pieteikuma pusē. Pēc uz kodu balstītas drošības nodrošināšanas ir nepieciešami turpmāki pasākumi, t.i., X-XSS-Protection galvenes pret XSS ievainojamību pārlūkprogrammās.
Kā lietot X-XSS-Protection
Mūsdienu pārlūkprogrammas var noteikt potenciālo XSS lietderīgo slodzi, filtrējot lietojumprogrammu ģenerētu saturu. Šo funkciju var aktivizēt, izmantojot X-XSS-Protection galvenes informāciju.
Lai iespējotu X-XSS-Protection galveni Nginx:
add_header X-Frame-X-XSS-Protection 1;
Lai iespējotu X-XSS-Protection galveni Apache:
Galvenei vienmēr pievienojiet X-XSS-Protection 1
Lai iespējotu X-XSS-Protection galveni IIS:
<http Protokols>
<pielāgotas galvenes>
<pievienot vārdu ="X-XSS aizsardzība" vērtība="1" />
</customHeaders>
</httpProtocol>
Lai novērstu koda bloka darbību ar XSS uzbrukumu pēc noklusējuma, varat izmantot kaut ko līdzīgu:
X-XSS aizsardzība: 1; režīms=bloķēt
Šīs nelielās izmaiņas ir jāveic, ja pastāv potenciāli bīstama situācija un vēlaties novērst visa satura renderēšanu.
Kas ir X-Content-Type-Options?
Pārlūkprogrammas veic tīmekļa lietojumprogrammas piedāvātā satura analīzi, ko sauc par MIME tipa sniffing. Piemēram, ja ir pieprasījums piekļūt PDF failam vai PNG failam, pārlūkprogrammas, kas veic HTTP atbildes analīzi, nosaka faila veidu.
Apsveriet failu ar jpeg paplašinājumu, bet kurā faktiski ir teksta/HTML saturs. Pēc paplašinājumu izmantošanas un aizsardzības nokārtošanas augšupielādes modulī fails tiek veiksmīgi augšupielādēts. Augšupielādētais fails tiek izsaukts, izmantojot URL, un MIME tipa sniffing atgriež tekstu/HTML. Tas atveido saturu kā HTML. Tieši tad rodas XSS ievainojamība.
Tāpēc jums ir jānovērš tas, ka pārlūkprogrammas pieņem lēmumu par saturu, izmantojot MIME tipa šņaukšanu. Lai to izdarītu, varat izmantot nosniff.
X-Content-Type-Options galvene Nginx:
add_header X-Content-Type-Options nosniff;
Apache X-Content-Type-Options galvene:
Vienmēr galvene X-Content-Type-Options nosniff
IIS galvene X-Content-Type-Options:
<http Protokols>
<pielāgotas galvenes>
<pievienot vārdu ="X-Content-Type-Options" vērtība="nosniff" />
</customHeaders>
</httpProtocol>
Kas ir HttpOnly sīkfailu karodziņš?
Tīmekļa lietojumprogrammas izseko lietotāju sesijas, izmantojot sesijas ID. Pārlūkprogrammas to saglabās un automātiski pievienos katram HTTP pieprasījumam sīkfaila darbības jomā.
Tas ir iespējams izmantot sīkdatnes mērķiem izņemot sesijas atslēgas pārsūtīšanu. Hakeri varētu uzzināt lietotāja datus, izmantojot iepriekš minēto XSS ievainojamību vai izmantojot Cross-Site Request Forgery (CSRF) uzbrukumu. Tātad, kuri sīkfaili ir vissvarīgākie drošības ziņā?
Kā piemēru varat ņemt vērā informāciju, kas ietverta pēdējā attēlā, uz kura noklikšķinājāt attēlu galerijā. Tādā veidā HTTP trafiks ir mazāks un daļu no slodzes var atrisināt lietotāja interneta pārlūkprogramma ar klienta puses skriptēšanu.
Tieši tur HttpOnly ienāk. Tālāk ir sniegts piemērs tam, kā vajadzētu būt sīkfailu piešķiršanai:
Iestatīt-Cepums: lietotājs=t=cdabe8a1c2153d726; ceļš=/; HttpOnly
Ievērojiet HttpOnly vērtību, kas nosūtīta Set-Cookie darbību. Pārlūkprogramma to redzēs un neapstrādās vērtības ar karodziņu HttpOnly, kad sīkfailam piekļūst, izmantojot document.cookie mainīgs. Vēl viens karogs, ko izmanto Set-Cookie procesā, ir drošs karogs. Tas norāda, ka sīkfaila vērtība tiks pievienota galvenē tikai HTTPS pieprasījumiem. E-komercijas vietnes to parasti izmanto, jo vēlas samazināt tīkla trafiku un palielināt veiktspēju.
Izmantojot šo metodi, varat paslēpt lietotāju kritiskos datus, piemēram, lietotājvārdus, paroles un kredītkaršu informāciju. Bet ir problēma. Lietotājiem, kuri pabeidz pieteikšanās procesu, tiek piešķirta sīkfaila vērtība bez karoga Secure. Lietotājam var būt sesijas atslēga, kad viņš veic HTTP pieprasījumu saitēm, kas nav HTTPS saites. Drošā karoga pievienošana ir vienkārša:
Iestatīt-Cepums: lietotājs=t=cdabe8a1c2153d726; ceļš=/; Droši
Kad nevajadzētu izmantot HttpOnly? Ja paļaujaties uz Javascript, esiet piesardzīgs, jo tas var padarīt jūsu vietni mazāk drošu.
Mazi soļi nodrošina plašāku tīmekļa drošību
Jums nav nepieciešamas uzlabotas programmatūras un servera zināšanas, lai palielinātu tīmekļa lietojumprogrammu drošību. Mainot tikai dažas rindiņas, jūs varat novērst dažus nopietnus uzbrukumus. Protams, ar to nepietiek. Tomēr tas ir neliels, bet efektīvs solis vietnes drošībai. Zināšanas ir vislabākā profilakse, tāpēc ir arī noderīgi zināt smalkās nianses, kā HTTPS aizsargā datus pārsūtīšanas laikā.