Áhrif
Skortur á öryggishausum gerir árásarmönnum kleift að framkvæma clickjacking, stela setukökur eða framkvæma forskriftir á milli vefsvæða (XSS) [S1]. Án þessara leiðbeininga geta vafrar ekki framfylgt öryggismörkum, sem leiðir til hugsanlegrar útskúfunar gagna og óviðkomandi notendaaðgerða [S2].
Orsök
Vandamálið stafar af bilun í að stilla vefþjóna eða umsóknarramma til að innihalda staðlaða HTTP öryggishausa. Þó að þróun setur oft virkan HTML og CSS [S1] í forgang, er öryggisstillingum oft sleppt. Endurskoðunartæki eins og MDN Observatory eru hönnuð til að greina þessi varnarlög sem vantar og tryggja að samskipti vafrans og netþjónsins séu örugg [S2].
Tæknilegar upplýsingar
Öryggishausar veita vafranum sérstakar öryggistilskipanir til að draga úr algengum veikleikum:
- Efnisöryggisstefna (CSP): Stýrir hvaða tilföngum er hægt að hlaða, kemur í veg fyrir óleyfilega keyrslu skriftu og innspýting gagna [S1].
- Strangt-flutningsöryggi (HSTS): Tryggir að vafrinn hafi einungis samskipti yfir öruggar HTTPS-tengingar [S2].
- X-Frame-Options: Kemur í veg fyrir að forritið sé birt í iframe, sem er aðal vörn gegn clickjacking [S1].
- X-Content-Type-Options: Kemur í veg fyrir að vafrinn túlki skrár sem aðra MIME-gerð en tilgreind er, stöðvar MIME-sniffing árásir [S2].
Hvernig FixVibe prófar það
FixVibe gæti greint þetta með því að greina HTTP-svarshausa vefforrits. Með því að miða niðurstöðurnar við MDN Observatory staðlana [S2], FixVibe geta merkt hausa sem vantar eða eru rangstilltir eins og CSP, HSTS og X-Frame-Options.
Laga
Uppfærðu vefþjóninn (t.d. Nginx, Apache) eða millihugbúnað forrita til að innihalda eftirfarandi hausa í öllum svörum sem hluta af venjulegri öryggisstöðu [S1]:
- Content-Security-Policy: Takmarka auðlindaheimildir við traust lén.
- Strict-Transport-Security: Framfylgja HTTPS með löngum
max-age. - X-Content-Type-Options: Stillt á
nosniff[S2]. - X-Frame-Options: Stilltu á
DENYeðaSAMEORIGINtil að koma í veg fyrir smelli [S1].