FixVibe
Covered by FixVibemedium

HTTP सुरक्षाशीर्षकाणि: ब्राउज़र-पक्षरक्षायाः कृते CSP तथा HSTS कार्यान्वितम्

इदं शोधं HTTP सुरक्षाशीर्षकाणां, विशेषतया सामग्रीसुरक्षानीतिः (CSP) तथा HTTP सख्तपरिवहनसुरक्षा (HSTS) इत्येतयोः महत्त्वपूर्णभूमिकायाः अन्वेषणं करोति, यत् क्रॉस्-साइट् स्क्रिप्टिङ्ग् (XSS) इत्यादिभ्यः सामान्यदुर्बलताभ्यः जाल-अनुप्रयोगानाम् रक्षणं करोति तथा च प्रोटोकॉल-अवरोहण-आक्रमणम्

CWE-1021CWE-79CWE-319

सुरक्षाशीर्षकाणां भूमिका

HTTP सुरक्षाशीर्षकाणि जाल-अनुप्रयोगानाम् कृते मानकीकृतं तन्त्रं प्रदास्यन्ति यत् ब्राउजर्-सत्रस्य समये विशिष्टसुरक्षानीतयः प्रवर्तयितुं निर्देशयन्ति [S1] [S2] एते शीर्षकाः रक्षा-गहनतायाः महत्त्वपूर्णस्तरस्य रूपेण कार्यं कुर्वन्ति, येषां जोखिमानां न्यूनीकरणं कुर्वन्ति ये केवलं अनुप्रयोगतर्केन पूर्णतया सम्बोधिताः न भवेयुः ।

सामग्री सुरक्षा नीति (CSP)

सामग्रीसुरक्षानीतिः (CSP) एकः सुरक्षास्तरः अस्ति यः कतिपयप्रकारस्य आक्रमणस्य अन्वेषणं न्यूनीकरणे च सहायकः भवति, यत्र क्रॉस्-साइट् स्क्रिप्टिङ्ग् (XSS) तथा च आँकडा-इञ्जेक्शन-आक्रमणानि [S1] सन्ति एकां नीतिं परिभाषयित्वा यत् निर्दिशति यत् के के गतिशीलसंसाधनाः लोड् कर्तुं अनुमताः सन्ति, CSP ब्राउजर् आक्रमणकर्तृणा [S1] द्वारा इन्जेक्शन् कृतानि दुर्भावनापूर्णस्क्रिप्ट् निष्पादयितुं निवारयति एतेन प्रभावीरूपेण अनधिकृतसङ्केतस्य निष्पादनं प्रतिबन्धितं भवति यद्यपि अनुप्रयोगे इन्जेक्शन-असुरक्षा अस्ति ।

HTTP सख्त परिवहन सुरक्षा (HSTS)

HTTP Strict Transport Security (HSTS) इति एकं तन्त्रं यत् वेबसाइट् ब्राउजर्-भ्यः सूचयितुं शक्नोति यत् केवलं HTTPS इत्यस्य उपयोगेन एव प्रवेशः करणीयः, न तु HTTP [S2] इत्यस्य उपयोगेन। इदं क्लायन्ट्-सर्वरयोः मध्ये सर्वः संचारः एन्क्रिप्टेड् [S2] इति सुनिश्चित्य प्रोटोकॉल-अवरोहण-आक्रमणात् कुकी-अपहरणात् च रक्षति एकदा ब्राउजर् एतत् शीर्षकं प्राप्नोति तदा सः स्वयमेव HTTP मार्गेण साइट्-प्रवेशस्य अनन्तरं सर्वान् प्रयासान् HTTPS-अनुरोधरूपेण परिवर्तयिष्यति ।

लुप्तशीर्षकाणां सुरक्षानिमित्तानि

ये अनुप्रयोगाः एतान् शीर्षकान् कार्यान्वितुं असफलाः भवन्ति तेषां ग्राहकपक्षीयसमझौतेः महत्त्वपूर्णतया अधिकजोखिमः भवति । सामग्रीसुरक्षानीतेः अभावः अनधिकृतस्क्रिप्ट्-निष्पादनस्य अनुमतिं ददाति, यत् सत्र-अपहरणं, अनधिकृत-दत्तांश-निष्कासनं, अथवा विकृतीकरणं [S1] इत्यस्य कारणं भवितुम् अर्हति तथैव HSTS शीर्षकस्य अभावेन उपयोक्तारः मनुष्य-मध्यस्थ (MITM) आक्रमणानां कृते प्रवणाः भवन्ति, विशेषतः प्रारम्भिक-संयोजन-चरणस्य समये, यत्र आक्रमणकारी यातायातस्य अवरुद्धं कर्तुं शक्नोति तथा च उपयोक्तारं साइट् [S2] इत्यस्य दुर्भावनापूर्णं अथवा अगुप्त-संस्करणं प्रति पुनः निर्देशयितुं शक्नोति

FixVibe तस्य परीक्षणं कथं करोति

FixVibe इत्यनेन पूर्वमेव एतत् निष्क्रियस्कैनपरीक्षारूपेण समाविष्टम् अस्ति । headers.security-headers Content-Security-Policy, Strict-Transport-Security, X-Frame-Options या frame-ancestors, X-Content-Type-Options, Referrer-Policy, तथा Permissions-Policy। एतत् शोषण-अन्वेषणं विना अनुपलब्धानि अथवा दुर्बल-मूल्यानि निवेदयति, तस्य निश्चय-प्रॉम्प्ट् च सामान्य-एप् तथा CDN-सेटअप-कृते परिनियोजन-सज्जानि शीर्षक-उदाहरणानि ददाति ।

सुधार मार्गदर्शन

सुरक्षामुद्रां सुधारयितुम्, सर्वेषु उत्पादनमार्गेषु एतानि शीर्षकाणि प्रत्यागन्तुं जालसर्वरः विन्यस्तं भवितुमर्हति । एकं मजबूतं CSP अनुप्रयोगस्य विशिष्टसंसाधनावश्यकतानां अनुरूपं भवितुमर्हति, स्क्रिप्ट् निष्पादनवातावरणं [S1] सीमितं कर्तुं script-src तथा object-src इत्यादीनां निर्देशानां उपयोगेन परिवहनसुरक्षायाः कृते, Strict-Transport-Security शीर्षकं समुचितेन max-age निर्देशेन सक्षमं भवितुमर्हति यत् उपयोक्तृसत्रेषु निरन्तरं संरक्षणं सुनिश्चितं भवति [S2].