Segurtasun goiburuen eginkizuna
HTTP segurtasun-goiburuek web-aplikazioetarako mekanismo estandarizatu bat eskaintzen dute arakatzaileei saio batean zehar segurtasun-politika zehatzak betetzeko [S1] [S2]. Goiburu hauek defentsa sakoneko geruza kritiko gisa jarduten dute, aplikazio-logikak bakarrik guztiz zuzendu behar ez dituen arriskuak arinduz.
Edukiaren segurtasun-politika (CSP)
Edukiaren segurtasun-politika (CSP) zenbait eraso mota detektatzen eta arintzen laguntzen duen segurtasun-geruza bat da, besteak beste, Cross-Site Scripting (XSS) eta datuak injekzio erasoak [S1]. CSP-k arakatzaileak [S1] erasotzaile batek injektatutako script gaiztoak exekutatzea eragozten du. Horrek modu eraginkorrean murrizten du baimenik gabeko kodearen exekuzioa, nahiz eta aplikazioan injekzio ahultasun bat egon.
HTTP Garraioaren segurtasun zorrotza (HSTS)
HTTP Garraiorako Segurtasun Zorrotza (HSTS) webgune bati nabigatzaileei jakinarazteko HTTPS erabiliz soilik sartu behar dela HTTP [S2] baino mekanismo bat da. Honek protokolo-mailako erasoen eta cookieen bahiketaren aurka babesten du, bezeroaren eta zerbitzariaren arteko komunikazio guztia [S2] zifratuta dagoela ziurtatuz. Arakatzaile batek goiburu hau jasotzen duenean, automatikoki bihurtuko ditu webgunera HTTP bidez sartzeko hurrengo saiakera guztiak HTTPS eskaerak.
Falta diren goiburuen segurtasun-ondorioak
Goiburu hauek inplementatzen ez dituzten aplikazioek bezeroaren aldetik arrisku handiagoa dute. Edukiaren segurtasun-gidalerrorik ez izateak baimenik gabeko scriptak exekutatzeko aukera ematen du, eta horrek saioaren bahiketa, baimenik gabeko datuen filtrazioa edo [S1] desagerrarazten ditu. Era berean, HSTS goibururik ez izateak erabiltzaileak man-in-the-middle (MITM) erasoak jasan ditzake, batez ere hasierako konexio-fasean, non erasotzaileak trafikoa atzeman dezakeen eta erabiltzailea [S2] gunearen bertsio maltzur edo zifratu gabeko batera bideratu dezake.
FixVibe probak nola egiten dituen
FixVibe-k dagoeneko barne hartzen du eskaneatu pasiboko egiaztapen gisa. headers.security-headers-k HTTP erantzun publikoaren metadatuak ikuskatzen ditu Content-Security-Policy, Strict-Transport-Security, X-Frame-Options edo ZXCVFIXVIBETOKEN4ZCVIX, Content-Security-Policy, Strict-Transport-Security edo ZXCVFIXVIBETOKEN4ZCVIX, ZXCVFIXVIBETOKEN4ZCVIX, Referrer-Policy, eta Permissions-Policy. Balio galduak edo ahulak salatzen ditu ustiapen-zundak gabe, eta bere konponketa-gonbita aplikazio arruntetarako eta CDN konfigurazioetarako inplementatzeko prest dauden goiburuen adibideak ematen ditu.
Erremediaziorako orientabidea
Segurtasun jarrera hobetzeko, web zerbitzariak konfiguratu behar dira goiburu horiek produkzio-bide guztietan itzultzeko. CSP sendoa aplikazioaren baliabide espezifikoen eskakizunetara egokitu behar da, script-src eta object-src bezalako zuzentarauak erabiliz, scriptak exekutatzeko inguruneak mugatzeko [S1]. Garraioaren segurtasunerako, Strict-Transport-Security goiburua max-age zuzentarau egoki batekin gaitu behar da, erabiltzaileen saioetan babes iraunkorra bermatzeko [S2].