လုံခြုံရေး ခေါင်းစီးများ၏ အခန်းကဏ္ဍ
HTTP လုံခြုံရေး ခေါင်းစီးများသည် စက်ရှင် [S1] [S2] ကာလအတွင်း သီးခြားလုံခြုံရေးမူဝါဒများကို ကျင့်သုံးရန် ဘရောက်ဆာများအား ညွှန်ကြားရန် ဝဘ်အက်ပလီကေးရှင်းများအတွက် စံသတ်မှတ်ထားသော ယန္တရားတစ်ခု ပေးပါသည်။ ဤခေါင်းစီးများသည် အပလီကေးရှင်းယုတ္တိတစ်ခုတည်းဖြင့် အပြည့်အဝမဖြေရှင်းနိုင်သော အန္တရာယ်များကို လျော့ပါးစေရန်အတွက် အရေးကြီးသောကာကွယ်ရေးအလွှာတစ်ခုအဖြစ် လုပ်ဆောင်သည်။
အကြောင်းအရာ လုံခြုံရေးမူဝါဒ (CSP)
အကြောင်းအရာလုံခြုံရေးမူဝါဒ (CSP) သည် Cross-Site Scripting (XSS) နှင့် ဒေတာထိုးသွင်းတိုက်ခိုက်မှု [S1] အပါအဝင် တိုက်ခိုက်မှုအမျိုးအစားအချို့ကို ရှာဖွေတွေ့ရှိပြီး လျော့ပါးသက်သာစေသည့် လုံခြုံရေးအလွှာတစ်ခုဖြစ်သည်။ မည်သည့် dynamic အရင်းအမြစ်များကို တင်ခွင့်ပြုကြောင်း သတ်မှတ်သည့် မူဝါဒကို သတ်မှတ်ခြင်းဖြင့်၊ CSP သည် တိုက်ခိုက်သူ [S1] မှ ဘရောက်ဆာအား တိုက်ခိုက်သူ [S1] မှ ထည့်သွင်းထားသော အန္တရာယ်ရှိသော script များကို လုပ်ဆောင်ခြင်းမှ တားဆီးပါသည်။ ၎င်းသည် အပလီကေးရှင်းတွင် ဆေးထိုးခြင်းဆိုင်ရာ အားနည်းချက်ရှိနေသော်လည်း ခွင့်ပြုချက်မရှိဘဲ ကုဒ်၏လုပ်ဆောင်မှုကို ထိထိရောက်ရောက် ကန့်သတ်ထားသည်။
HTTP တင်းကျပ်သော သယ်ယူပို့ဆောင်ရေး လုံခြုံရေး (HSTS)
HTTP Strict Transport Security (HSTS) သည် HTTP [S2] ထက် HTTPS ကို အသုံးပြု၍ ဝင်ရောက်သင့်သည်ဟု ဝဘ်ဆိုဒ်တစ်ခုကို ဘရောက်ဆာများအား အသိပေးခွင့်ပြုသည့် ယန္တရားတစ်ခုဖြစ်သည်။ ၎င်းသည် ကလိုင်းယင့်နှင့် ဆာဗာကြားရှိ ဆက်သွယ်မှုအားလုံးကို [S2] ကုဒ်ဝှက်ထားကြောင်း သေချာစေခြင်းဖြင့် ပရိုတိုကော အဆင့်နှိမ့်ချတိုက်ခိုက်မှုများနှင့် ကွတ်ကီးအပိုင်စီးခြင်းတို့ကို ကာကွယ်ပေးပါသည်။ ဘရောင်ဇာသည် ဤခေါင်းစဉ်ကို လက်ခံရရှိသည်နှင့်၊ ၎င်းသည် HTTP မှတစ်ဆင့် ဝဘ်ဆိုက်သို့ ဝင်ရောက်ရန် နောက်ဆက်တွဲကြိုးပမ်းမှုအားလုံးကို HTTPS တောင်းဆိုမှုများအဖြစ် အလိုအလျောက် ပြောင်းလဲပေးမည်ဖြစ်သည်။
ပျောက်ဆုံးနေသော ခေါင်းစီးများ၏ လုံခြုံရေးသက်ရောက်မှုများ
ZXCVFIXVIBESEG၁၀ ဤခေါင်းစီးများကို အကောင်အထည်ဖော်ရန် ပျက်ကွက်သော အပလီကေးရှင်းများသည် သုံးစွဲသူဘက်မှ အပေးအယူလုပ်ရန် သိသိသာသာ မြင့်မားသော အန္တရာယ်ရှိသည်။ အကြောင်းအရာလုံခြုံရေးမူဝါဒမရှိခြင်းသည် စက်ရှင်အား ပြန်ပေးဆွဲခြင်း၊ ခွင့်ပြုချက်မရှိဘဲ ဒေတာထုတ်ယူခြင်း သို့မဟုတ် [S1] တို့ကို ဖြစ်ပေါ်စေနိုင်သည့် ခွင့်ပြုချက်မရှိသော Script များကို လုပ်ဆောင်နိုင်စေသည်။ အလားတူ၊ HSTS ခေါင်းစီးမပါရှိခြင်းသည် သုံးစွဲသူများအား အလယ်အလတ် (MITM) တိုက်ခိုက်မှုများကို ခံရနိုင်စေပါသည်။ အထူးသဖြင့် ကနဦးချိတ်ဆက်မှုအဆင့်တွင် တိုက်ခိုက်သူသည် အသွားအလာကို ကြားဖြတ်ပြီး အသုံးပြုသူကို [S2] ဆိုက်၏ အန္တရာယ်ရှိသော သို့မဟုတ် ကုဒ်မထားသောဗားရှင်းသို့ ပြန်ညွှန်းနိုင်သည်။
ZXCVFIXVIBESEG ၁၁
FixVibe စမ်းသပ်နည်း
FixVibe တွင် ၎င်းကို passive scan စစ်ဆေးမှုအဖြစ် ပါဝင်ပြီးဖြစ်သည်။ headers.security-headers သည် Content-Security-Policy၊ Strict-Transport-Security၊ X-Frame-Options သို့မဟုတ် frame-ancestors၊ Strict-Transport-Security၊ X-Frame-Options သို့မဟုတ် frame-ancestors၊ ZXCVFIXZVIBETOKEN4ZXCV၊ ZXCVFIXZVIBETOKEN Referrer-Policy နှင့် Permissions-Policy။ ၎င်းသည် exploit probes မပါဘဲ ပျောက်ဆုံးနေသော သို့မဟုတ် အားနည်းသောတန်ဖိုးများကို အစီရင်ခံပြီး ၎င်း၏ပြင်ဆင်မှုအမှာစာသည် အသုံးများသောအက်ပ်နှင့် CDN စနစ်ထည့်သွင်းမှုအတွက် ဖြန့်ကျက်ပြင်ဆင်ထားသော ခေါင်းစီးနမူနာများကို ပေးသည်။
ZXCVFIXVIBESEG၁၃
ပြုပြင်ခြင်းလမ်းညွှန်
ZXCVFIXVIBESEG ၁၄ လုံခြုံရေးအနေအထားကို မြှင့်တင်ရန်၊ ထုတ်လုပ်ရေးလမ်းကြောင်းအားလုံးတွင် ဤခေါင်းစီးများကို ပြန်ပေးရန်အတွက် ဝဘ်ဆာဗာများကို ပြင်ဆင်သတ်မှတ်ရပါမည်။ script-src နှင့် object-src ကဲ့သို့သော လမ်းညွှန်ချက်များကို အသုံးပြုကာ အပလီကေးရှင်း၏ သီးခြားအရင်းအမြစ်လိုအပ်ချက်များနှင့် အံဝင်ခွင်ကျဖြစ်စေရန် object-src သည် script execution ပတ်၀န်းကျင်များကိုကန့်သတ်ရန် [S1] နှင့် object-src တို့ဖြစ်သည်။ သယ်ယူပို့ဆောင်ရေးလုံခြုံရေးအတွက်၊ Strict-Transport-Security ခေါင်းစီးကို အသုံးပြုသူစက်ရှင်များတစ်လျှောက် အမြဲတမ်းကာကွယ်မှုသေချာစေရန် [S2] သင့်လျော်သော max-age ညွှန်ကြားချက်ဖြင့် ဖွင့်ထားသင့်သည်။