Dleastanas Ceannardan Tèarainteachd
Bidh cinn-cinn tèarainteachd HTTP a’ toirt seachad uidheamachd àbhaisteach airson tagraidhean lìn gus stiùireadh a thoirt do bhrobhsairean poileasaidhean tèarainteachd sònraichte a chuir an gnìomh rè seisean [S1] [S2]. Tha na cinn-cinn sin nan sreath riatanach de dhoimhneachd dìon, a’ lughdachadh chunnartan is dòcha nach tèid dèiligeadh riutha gu h-iomlan le loidsig tagraidh a-mhàin.
Poileasaidh Tèarainteachd Susbaint (CSP)
Tha Poileasaidh Tèarainteachd Susbaint (CSP) na ìre tèarainteachd a chuidicheas le bhith a’ lorg agus a’ lughdachadh seòrsan sònraichte de dh’ionnsaighean, a’ gabhail a-steach Sgriobhadh Thar-làraich (XSS) agus ionnsaighean in-stealladh dàta [S1]. Le bhith a’ mìneachadh poileasaidh a tha a’ sònrachadh dè na goireasan fiùghantach a tha ceadaichte a luchdachadh, tha CSP a’ cur casg air a’ bhrobhsair bho bhith a’ cur an gnìomh sgriobtaichean droch-rùnach air an stealladh le neach-ionnsaigh [S1]. Tha seo gu h-èifeachdach a’ cuingealachadh coileanadh còd gun chead eadhon ged a tha so-leòntachd stealladh ann san tagradh.
Tèarainteachd còmhdhail teann HTTP (HSTS)
Tha HTTP Strict Transport Security (HSTS) na inneal a leigeas le làrach-lìn innse do bhrobhsairean nach bu chòir faighinn thuige ach le bhith a’ cleachdadh HTTPS, seach HTTP [S2]. Bidh seo a’ dìon an aghaidh ionnsaighean ìsleachadh pròtacal agus fuadach cookie le bhith a’ dèanamh cinnteach gu bheil a h-uile conaltradh eadar an neach-dèiligidh agus an frithealaiche air a chrioptachadh [S2]. Cho luath ‘s a gheibh brobhsair am bann-cinn seo, tionndaidhidh e gu fèin-ghluasadach a h-uile oidhirp às deidh sin air faighinn chun làrach tro HTTP gu iarrtasan HTTPS.
Buaidh tèarainteachd cinn-cinn a tha a dhìth
Tha tagraidhean nach cuir an gnìomh na cinn-cinn sin ann an cunnart gu math nas àirde bho cho-rèiteachadh taobh teachdaiche. Tha dìth Poileasaidh Tèarainteachd Susbaint a’ ceadachadh sgriobtaichean gun chead a chuir an gnìomh, a dh’ fhaodadh leantainn gu fuadach seisean, toirt a-mach dàta gun chead, no milleadh [S1]. San aon dòigh, tha dìth bann-cinn HSTS a’ fàgail luchd-cleachdaidh a tha buailteach do ionnsaighean fear-sa-meadhan (MITM), gu sònraichte aig ìre a’ cheangail tùsail, far am faod neach-ionnsaigh casg a chuir air trafaic agus an neach-cleachdaidh ath-stiùireadh gu dreach droch-rùnach no neo-chrioptaichte den làrach [S2].
Mar a nì FixVibe deuchainn air a shon
Tha FixVibe mu thràth a’ toirt a-steach seo mar sgrùdadh scan fulangach. Bidh headers.security-headers a’ sgrùdadh meata-dàta freagairt poblach HTTP airson làthaireachd agus neart Content-Security-Policy, Strict-Transport-Security, X-Frame-Options or ZXCVFIXVIBETOKEN4ZCVENCV, Content-Security-Policy Referrer-Policy, agus Permissions-Policy. Bidh e ag aithris air luachan a tha a dhìth no lag gun a bhith a’ gabhail brath air probes, agus tha an t-iarrtas rèiteachaidh aige a’ toirt seachad eisimpleirean cinn deiseil airson cleachdadh cumanta agus suidheachadh CDN.
Stiùireadh leigheas
Gus suidheachadh tèarainteachd a leasachadh, feumaidh frithealaichean lìn a bhith air an rèiteachadh gus na cinn-cinn sin a thilleadh air a h-uile slighe toraidh. Bu chòir CSP làidir a bhith air a dhealbhadh a rèir riatanasan ghoireasan sònraichte an tagraidh, a’ cleachdadh stiùiridhean mar script-src agus object-src gus àrainneachdan coileanadh sgriobt a chuingealachadh [S1]. Airson tèarainteachd còmhdhail, bu chòir an bann-cinn Strict-Transport-Security a bhith air a chomasachadh le stiùireadh iomchaidh max-age gus dèanamh cinnteach à dìon leantainneach thar seiseanan luchd-cleachdaidh [S2].