Hlutverk öryggishausa
HTTP öryggishausar bjóða upp á staðlað kerfi fyrir vefforrit til að leiðbeina vöfrum um að framfylgja sértækum öryggisreglum meðan á lotu stendur [S1] [S2]. Þessir hausar virka sem mikilvægt lag af djúpvörn, draga úr áhættu sem ekki er hægt að bregðast að fullu við með rökfræði forritsins einni saman.
Innihaldsöryggisstefna (CSP)
Innihaldsöryggisstefna (CSP) er öryggislag sem hjálpar til við að greina og draga úr ákveðnum tegundum árása, þar á meðal Cross-Site Scripting (XSS) og gagnainnspýtingarárásir [S1]. Með því að skilgreina stefnu sem tilgreinir hvaða kraftmikla tilföng mega hlaðast, kemur CSP í veg fyrir að vafrinn framkvæmi skaðlegar forskriftir sem árásarmaður hefur sprautað inn [S1]. Þetta takmarkar í raun framkvæmd óviðkomandi kóða, jafnvel þótt innspýtingsveikleiki sé til staðar í forritinu.
HTTP Strict Transport Security (HSTS)
HTTP Strict Transport Security (HSTS) er kerfi sem gerir vefsíðu kleift að upplýsa vafra um að það ætti aðeins að nálgast hana með HTTPS, frekar en HTTP [S2]. Þetta verndar gegn árásum á samskiptareglur og ræningum á vafrakökum með því að tryggja að öll samskipti milli viðskiptavinarins og þjónsins séu dulkóðuð [S2]. Þegar vafri hefur fengið þennan haus mun hann sjálfkrafa breyta öllum síðari tilraunum til að fá aðgang að síðunni í gegnum HTTP í HTTPS beiðnir.
Öryggisáhrif vegna hausa sem vantar
Forrit sem tekst ekki að innleiða þessa hausa eru í marktækt meiri hættu á málamiðlun viðskiptavinarhliðar. Skortur á efnisöryggisstefnu gerir kleift að keyra óheimilar forskriftir, sem getur leitt til ræningar á fundi, óleyfilegrar gagnaflutnings eða eyðileggingar [S1]. Að sama skapi gerir skortur á HSTS haus notendum næm fyrir mann-í-miðju (MITM) árásum, sérstaklega á upphafsstigi tengingar, þar sem árásarmaður getur stöðvað umferð og vísað notandanum á illgjarna eða ódulkóðaða útgáfu af síðunni ZXCVIXVIBETOKEN1ZXCV.
Hvernig FixVibe prófar það
FixVibe inniheldur þetta nú þegar sem óvirka skannaskoðun. headers.security-headers skoðar opinber HTTP svar lýsigögn fyrir tilvist og styrk Content-Security-Policy, Strict-Transport-Security, X-Frame-Options eða ZXCVFIXVIBETOKEN4KENZXCV, ZXCVZFXVICV, ZXCVZIXVICV, Referrer-Policy og Permissions-Policy. Það greinir frá týndum eða veikum gildum án hagnýtingarrannsókna og lagfæringarskynningin gefur tilbúnar hausdæmi fyrir algengar app- og CDN uppsetningar.
Leiðbeiningar um úrbætur
Til að bæta öryggisstöðu verða vefþjónar að vera stilltir til að skila þessum hausum á öllum framleiðsluleiðum. Öflugt CSP ætti að vera sniðið að sérstökum auðlindakröfum forritsins, með því að nota tilskipanir eins og script-src og object-src til að takmarka framkvæmdarumhverfi skriftu [S1]. Fyrir flutningsöryggi ætti Strict-Transport-Security hausinn að vera virkur með viðeigandi max-age tilskipun til að tryggja viðvarandi vernd yfir notendalotur [S2].