Grepa
Sigurimi i vendosjeve Vercel kërkon konfigurimin aktiv të veçorive të sigurisë si p.sh. Mbrojtja e vendosjes dhe titujt e personalizuar të HTTP [S2][S3]. Mbështetja në cilësimet e paracaktuara mund t'i lërë mjediset dhe përdoruesit të ekspozuar ndaj aksesit të paautorizuar ose dobësive nga ana e klientit [S2][S3].
Çfarë ndryshoi
Vercel ofron mekanizma specifikë për Mbrojtjen e vendosjes dhe menaxhimin e personalizuar të kokës për të përmirësuar pozicionin e sigurisë së aplikacioneve të pritura [S2][S3]. Këto veçori u mundësojnë zhvilluesve të kufizojnë aksesin në mjedis dhe të zbatojnë politikat e sigurisë në nivelin e shfletuesit [S2][S3].
Kush preket
Organizatat që përdorin Vercel preken nëse nuk kanë konfiguruar mbrojtjen e vendosjes për mjediset e tyre ose nuk kanë përcaktuar tituj sigurie të personalizuara për aplikacionet e tyre [S2][S3]. Kjo është veçanërisht kritike për ekipet që menaxhojnë të dhëna të ndjeshme ose vendosje paraprake private [S2].
Si funksionon çështja
Vendosjet e Vercel mund të jenë të aksesueshme nëpërmjet URL-ve të gjeneruara, përveç rastit kur "Mbrojtja e vendosjes" është aktivizuar në mënyrë eksplicite për të kufizuar hyrjen në [S2]. Për më tepër, pa konfigurime të personalizuara të kokës, aplikacioneve mund t'u mungojnë titujt thelbësorë të sigurisë si Politika e Sigurisë së Përmbajtjes (CSP), të cilat nuk aplikohen si parazgjedhje [S3].
Çfarë merr një sulmues
Një sulmues mund të ketë akses potencialisht në mjedise të kufizuara të pamjes paraprake nëse Mbrojtja e vendosjes nuk është aktive [S2]. Mungesa e titujve të sigurisë rrit gjithashtu rrezikun e sulmeve të suksesshme nga ana e klientit, pasi shfletuesit i mungojnë udhëzimet e nevojshme për të bllokuar aktivitetet me qëllim të keq [S3].
Si e teston FixVibe për të
FixVibe tani e paraqet këtë temë kërkimore në dy kontrolle pasive të dërguara. headers.vercel-deployment-security-backfill shënon URL-të e vendosjes *.vercel.app të gjeneruara nga Vercel vetëm kur një kërkesë normale e paautentikuar kthen një përgjigje 2xx/3xx nga i njëjti host i gjeneruar në vend të një hosti të gjeneruar ZXBCVSOKVENZ fjalëkalimi ose sfida e mbrojtjes së vendosjes [S2]. headers.security-headers inspekton veçmas përgjigjen e prodhimit publik për CSP, HSTS, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, dhe konfigurimin e konfigurimit Vercel ose aplikacioni [S3]. FixVibe nuk detyron me forcë URL-të e vendosjes dhe nuk përpiqet të anashkalojë pamjet paraprake të mbrojtura.
Çfarë të rregulloni
Aktivizo mbrojtjen e vendosjes në pultin e Vercel për të siguruar mjediset e pamjes paraprake dhe prodhimit [S2]. Për më tepër, përcaktoni dhe vendosni titujt e sigurisë me porosi brenda konfigurimit të projektit për të mbrojtur përdoruesit nga sulmet e zakonshme të bazuara në ueb [S3].