FixVibe
Covered by FixVibemedium

ዝብል ቃል ንምርካብ ኣብዚ ንጠውቅ እኹል ዘይኮነ ናይ ድሕነት ርእሲ ውቅር

ዝብል ቃል ንረክብ ZXCVFIXVIBESEG2 መብዛሕትኡ ግዜ ዌብ ኣፕሊኬሽናት ኣገደስቲ ናይ ድሕነት ርእሲ ምትግባር ስለዘይክእሉ፡ ተጠቀምቲ ንመስቀላዊ ሳይት ስክሪፕቲንግ (XSS)፡ ምጥዋቕን ዳታ ምውጋእን ይቃልዑ። ንዝተመስረቱ መምርሒታት ድሕነት መርበብ ሓበሬታ ብምኽታልን ከም MDN Observatory ዝኣመሰሉ ናይ ኦዲት መሳርሒታት ብምጥቃምን፡ ዲቨሎፐራት ንኣፕሊኬሽናቶም ኣንጻር ልሙድ ኣብ መርበብ ሓበሬታ ዝተመርኮሰ መጥቃዕቲ ብዓቢኡ ከትሪሩ ይኽእሉ።

CWE-693

ዝብል ቃል ንረክብ ZXCVFIXVIBESEG3

ጽልዋ

ዝብል ቃል ንረክብ ZXCVFIXVIBESEG4 ናይ ድሕነት ርእሲ ዘይምህላው፡ መጥቃዕቲ ዝፍጽሙ ሰባት ክሊክጃኪንግ ክገብሩ፡ ናይ ክፍለ ግዜ ኩኪስ ክሰርቁ፡ ወይ ድማ ስግረ-ሳይት ስክሪፕቲንግ (XSS) [S1] ክፍጽሙ የኽእሎም። ብዘይ እዚ መምርሒታት፡ ዳህሰስቲ ዶባት ጸጥታ ከስርጹ ኣይክእሉን እዮም፡ እዚ ድማ ናብ ክህሉ ዝኽእል ምፍታሕ ዳታን ዘይተፈቕደ ተግባራት ተጠቃሚን [S2] የስዕብ።

ዝብል ቃል ንረክብ ZXCVFIXVIBESEG5

ሱር ጠንቂ

ዝብል ቃል ንረክብ ZXCVFIXVIBESEG6 እቲ ጉዳይ ካብቲ ንዌብ ሰርቨር ወይ መተግበሪ ፍሬምዎርክታት ስታንዳርድ ኤችቲቲፒ ድሕንነት ርእሲ ንምሕዋስ ካብ ዘይምውቃር ዝምንጩ እዩ። ምዕባለ መብዛሕትኡ ግዜ ንተግባራዊ HTMLን CSSን [S1] ቀዳምነት ክህቦ እንከሎ፡ ውቅር ጸጥታ ብተደጋጋሚ ይግደፍ። ከም MDN Observatory ዝኣመሰሉ ናይ ኦዲት መሳርሒታት ነዞም ዝጎደሉ ናይ ምክልኻል ንጣብታት ንምፍላጥን ኣብ መንጎ መርበብ ሓበሬታን ኣገልጋልን ዝግበር ርክብ ውሑስ ምዃኑ ንምርግጋጽን ዝተዳለዉ እዮም [S2]።

ዝብል ቃል ንረክብ ZXCVFIXVIBESEG7

ቴክኒካዊ ዝርዝር

ዝብል ቃል ንረክብ ZXCVFIXVIBESEG8 ርእሲ ጸጥታ ነቲ መርበብ ሓበሬታ ፍሉይ መምርሒታት ድሕነት ይህብዎ ልሙዳት ተቓላዕነት ንምቅላል፤ ዝብል ቃል ንረክብ ZXCVFIXVIBESEG9

  • ፖሊሲ ድሕነት ትሕዝቶ (CSP): ኣየኖት ጸጋታት ክጽዓኑ ከም ዝኽእሉ ይቆጻጸር፣ ዘይተፈቕደ ስክሪፕት ምፍጻምን ዳታ ምውጋእን [S1] ይከላኸል።

ዝብል ቃል ንረክብ ZXCVFIXVIBESEG10 ዝብል ቃል ንምርካብ ኣብዚ ንጠውቅ

  • ጽኑዕ-መጓዓዝያ-ድሕነት (HSTS): እቲ መርበብ ሓበሬታ ብውሑስ HTTPS ርክባት ጥራይ ከም ዝራኸብ የረጋግጽ [S2]።

ዝብል ቃል ንረክብ ZXCVFIXVIBESEG11 ዝብል ቃል ንምርካብ ኣብዚ ንጠውቅ

  • X-Frame-Options: እቲ መተግበሪ ኣብ iframe ከይስራሕ ይኽልክል፣ እዚ ድማ ቀንዲ መከላኸሊ ኣንጻር clickjacking [S1] እዩ።

ዝብል ቃል ንረክብ ZXCVFIXVIBESEG12

  • X-Content-Type-Options: ዳህሳሲ ንፋይላት ካብቲ ዝተገለፀ ዝተፈለየ ዓይነት MIME ጌሩ ከይትርጉሞም ይኽልክል፣ MIME-sniffing attacks [S2] ደው የብሎ።

ዝብል ቃል ንረክብ ZXCVFIXVIBESEG13 ዝብል ቃል ንረክብ

FixVibe ከመይ ጌሩ ይፍትኖ

ዝብል ቃል ንረክብ ZXCVFIXVIBESEG14 ዝብል ቃል ንረክብ FixVibe ነዚ ክፈልጦ ዝኽእል ናይ HTTP መልሲ ርእሲ ናይ ሓደ መርበብ መተግበሪ ብምትንታን እዩ። ነቲ ውጽኢት ምስ ደረጃታት MDN Observatory [S2] ብምምዛን፡ FixVibe ከም CSP, HSTS, ከምኡ’ውን X-Frame-Options ዝኣመሰሉ ዝጎደሉ ወይ ብጌጋ ዝተዋቕሩ ርእስታት ምልክት ክገብሩ ይኽእሉ።

ዝብል ቃል ንረክብ ZXCVFIXVIBESEG15 ዝብል ቃል ንምርካብ ኣብዚ ጠውቑ

ምእራም

ዝብል ቃል ንረክብ ZXCVFIXVIBESEG16 ነቲ መርበብ ሓበሬታ ኣገልጋሊ (ንኣብነት፡ Nginx, Apache) ወይ መተግበሪ ማእከላይ ዌብ ነዞም ዝስዕቡ ርእስታት ኣብ ኩሉ መልስታት ከም ኣካል ናይ መደበኛ ናይ ጸጥታ ኣቃውማ [S1] ንምሕዋስ ኣዘምኖ። ዝብል ቃል ንረክብ ZXCVFIXVIBESEG17

  • ትሕዝቶ-ድሕነት-ፖሊሲ: ምንጪ ጸጋታት ኣብ ዝእመኑ ዓውድታት ምድራት።

ዝብል ቃል ንረክብ ZXCVFIXVIBESEG18

  • ጽኑዕ-መጓዓዝያ-ድሕነት: HTTPS ብነዊሕ max-age ምትግባር።

ዝብል ቃል ንረክብ ZXCVFIXVIBESEG19

  • X-ትሕዝቶ-ዓይነት-ኣማራጺታት: ናብ nosniff [S2] ኣቐምጦ።

ዝብል ቃል ንረክብ ZXCVFIXVIBESEG20 ዝብል ቃል ንምርካብ ኣብዚ ንጠውቅ

  • X-Frame-Options: [S1] ንኸይጥውቕ ናብ DENY ወይ SAMEORIGIN ኣቐምጥ።