የደህንነት ኃላፊዎች ሚና
የኤችቲቲፒ ደህንነት ራስጌዎች አሳሾች በአንድ ክፍለ ጊዜ የተወሰኑ የደህንነት ፖሊሲዎችን እንዲያስፈጽሙ ለማስተማር ደረጃውን የጠበቀ አሰራር ለድር መተግበሪያዎች ይሰጣሉ [S1] [S2]። እነዚህ ራስጌዎች በመተግበሪያ አመክንዮ ብቻ ሙሉ በሙሉ ሊፈቱ የማይችሉትን አደጋዎችን በመቀነስ እንደ ወሳኝ የመከላከያ-ጥልቀት ንብርብር ይሠራሉ።
የይዘት ደህንነት ፖሊሲ (CSP)
የይዘት ደህንነት ፖሊሲ (CSP) የተወሰኑ የጥቃት አይነቶችን ለማግኘት እና ለማቃለል የሚረዳ የደህንነት ሽፋን ሲሆን ይህም የሳይት አቋራጭ ስክሪፕት (XSS) እና የመረጃ መርፌ ጥቃቶች [S1]። የትኞቹ ተለዋዋጭ ሀብቶች እንዲጫኑ እንደተፈቀደ የሚገልጽ ፖሊሲ በመግለጽ፣ CSP አሳሹ በአጥቂ [S1] የተወጉ ተንኮል አዘል ስክሪፕቶችን እንዳይፈጽም ይከላከላል። ይህ በመተግበሪያው ውስጥ የመርፌ ተጋላጭነት ቢኖርም ያልተፈቀደ ኮድ አፈፃፀምን በብቃት ይገድባል።
HTTP ጥብቅ የትራንስፖርት ደህንነት (HSTS)
HTTP Strict Transport Security (HSTS) ከኤችቲቲፒ [S2] ይልቅ ኤችቲቲፒኤስን በመጠቀም ብቻ መቅረብ እንዳለበት ድህረ ገጽ ለአሳሾች ለማሳወቅ የሚያስችል ዘዴ ነው። ይህ በደንበኛው እና በአገልጋዩ መካከል ያለው ግንኙነት ሁሉ [S2] የተመሰጠረ መሆኑን በማረጋገጥ የፕሮቶኮል ዝቅጠት ጥቃቶችን እና የኩኪ ጠለፋዎችን ይከላከላል። አንድ አሳሽ ይህን ራስጌ ከተቀበለ በኋላ በኤችቲቲፒ በኩል ጣቢያውን ለመድረስ የተደረጉ ሙከራዎችን ሁሉ በራስ ሰር ወደ HTTPS ጥያቄዎች ይቀይራል።
የጎደሉ ራስጌዎች የደህንነት አንድምታ
እነዚህን ራስጌዎች መተግበር ያልቻሉ አፕሊኬሽኖች ከደንበኛ-ጎን የመደራደር ዕድላቸው ከፍተኛ ነው። የይዘት ደህንነት ፖሊሲ አለመኖር ያልተፈቀዱ ስክሪፕቶችን እንዲፈጽም ያስችላል፣ ይህም ወደ ክፍለ-ጊዜ ጠለፋ፣ ያልተፈቀደ መረጃን ወደማጣራት ወይም [S1] ማበላሸት። በተመሳሳይ፣ የHSTS ራስጌ አለመኖር ተጠቃሚዎች ለሰው-በመካከለኛው (MITM) ጥቃቶች ተጋላጭ እንዲሆኑ ያደርጋቸዋል፣ በተለይም በመጀመሪያ የግንኙነት ደረጃ ላይ አንድ አጥቂ ትራፊክን በመጥለፍ ተጠቃሚውን ወደ ተንኮል-አዘል ወይም ያልተመሰጠረ የጣቢያው ስሪት [S2] ያዛውራል።
FixVibe እንዴት እንደሚፈትሽ
FixVibe ይህንን እንደ ተገብሮ የፍተሻ ፍተሻ ቀድሞውንም አካቷል። headers.security-headers የህዝብ የኤችቲቲፒ ምላሽ ዲበዳታ ለContent-Security-Policy፣ Strict-Transport-Security፣ X-Frame-Options ወይም ZXCVFIXVIBETOKEN4ZXVZXVCV5፣X-Frame-Options ወይም ጥንካሬን ይመረምራል። Referrer-Policy፣ እና Permissions-Policy። ያለ መጠቀሚያ መመርመሪያዎች የጎደሉ ወይም ደካማ እሴቶችን ሪፖርት ያደርጋል፣ እና የእሱ መጠገኛ መጠየቂያው ለጋራ መተግበሪያ እና ለሲዲኤን ማዋቀር ዝግጁ የሆኑ አርዕስት ምሳሌዎችን ይሰጣል።
የማገገሚያ መመሪያ
የደህንነት ሁኔታን ለማሻሻል የድር አገልጋዮች እነዚህን ራስጌዎች በሁሉም የምርት መስመሮች ላይ ለመመለስ መዋቀር አለባቸው። ጠንካራ CSP የስክሪፕት አፈጻጸም አካባቢዎችን ለመገደብ እንደ script-src እና object-src መመሪያዎችን በመጠቀም ከመተግበሪያው ልዩ የግብዓት መስፈርቶች ጋር መጣጣም አለበት። ለትራንስፖርት ደህንነት የStrict-Transport-Security ራስጌ በተጠቃሚ ክፍለ ጊዜዎች ላይ የማያቋርጥ ጥበቃን ለማረጋገጥ በተገቢው max-age መመሪያ መንቃት አለበት።