Vloga varnostnih glav
Varnostne glave HTTP zagotavljajo standardiziran mehanizem za spletne aplikacije, ki brskalnikom naročijo, naj med sejo uveljavijo posebne varnostne politike [S1] [S2]. Te glave delujejo kot kritična plast poglobljene obrambe, ki zmanjšuje tveganja, ki jih morda ne bo v celoti obravnavala samo logika aplikacije.
Politika varnosti vsebine (CSP)
Politika varnosti vsebine (CSP) je varnostna plast, ki pomaga odkrivati in blažiti določene vrste napadov, vključno s skriptnim izvajanjem med spletnimi mesti (XSS) in napadi z vbrizgavanjem podatkov [S1]. Z definiranjem pravilnika, ki določa, katerim dinamičnim virom je dovoljeno nalaganje, CSP brskalniku prepreči izvajanje zlonamernih skriptov, ki jih vbrizga napadalec [S1]. To učinkovito omejuje izvajanje nepooblaščene kode, tudi če v aplikaciji obstaja ranljivost vbrizgavanja.
Stroga transportna varnost HTTP (HSTS)
HTTP Strict Transport Security (HSTS) je mehanizem, ki spletnemu mestu omogoča, da obvesti brskalnike, da je treba do njega dostopati samo prek HTTPS in ne HTTP [S2]. To ščiti pred napadi na nižjo različico protokola in ugrabitvijo piškotkov, saj zagotavlja, da je vsa komunikacija med odjemalcem in strežnikom šifrirana [S2]. Ko brskalnik prejme to glavo, samodejno pretvori vse nadaljnje poskuse dostopa do spletnega mesta prek HTTP v zahteve HTTPS.
Varnostne posledice manjkajočih glav
Aplikacije, ki ne implementirajo teh glav, so izpostavljene znatno večjemu tveganju za ogrožanje na strani odjemalca. Odsotnost pravilnika o varnosti vsebine dovoljuje izvajanje nepooblaščenih skriptov, kar lahko privede do ugrabitve seje, nepooblaščene ekstrakcije podatkov ali ponarejanja [S1]. Podobno pomanjkanje glave HSTS pusti uporabnike dovzetne za napade človeka v sredini (MITM), zlasti v začetni fazi povezave, kjer lahko napadalec prestreže promet in uporabnika preusmeri na zlonamerno ali nešifrirano različico spletnega mesta [S2].
Kako ga FixVibe testira
FixVibe to že vključuje kot preverjanje pasivnega skeniranja. headers.security-headers pregleduje javne metapodatke odziva HTTP glede prisotnosti in moči Content-Security-Policy, Strict-Transport-Security, X-Frame-Options ali frame-ancestors, X-Content-Type-Options, Referrer-Policy in Permissions-Policy. Poroča o manjkajočih ali šibkih vrednostih brez sond izkoriščanja, njegov poziv za popravilo pa ponuja primere glave, pripravljene za uvajanje, za običajne nastavitve aplikacij in CDN.
Navodila za sanacijo
Za izboljšanje varnostne drže morajo biti spletni strežniki konfigurirani za vračanje teh glav na vseh proizvodnih poteh. Robusten CSP bi moral biti prilagojen posebnim zahtevam glede sredstev aplikacije z uporabo direktiv, kot sta script-src in object-src za omejitev okolij izvajanja skriptov [S1]. Za varnost transporta mora biti glava Strict-Transport-Security omogočena z ustrezno direktivo max-age, da se zagotovi trajna zaščita med uporabniškimi sejami [S2].