FixVibe
Covered by FixVibemedium

Securityeterlik däl howpsuzlyk sözbaşy konfigurasiýasy

Web programmalary, köplenç ulanyjylary saýt skriptlerine (XSS), basmak we maglumat sanjymyna sezewar edip, möhüm howpsuzlyk sözbaşylaryny ýerine ýetirip bilmeýärler. Bellenen web howpsuzlygy görkezmelerine eýermek we MDN obserwatoriýasy ýaly gözegçilik gurallaryny ulanmak bilen, döredijiler umumy brauzer esasly hüjümlere garşy programmalaryny ep-esli derejede kynlaşdyryp bilerler.

CWE-693

Täsir

Howpsuzlyk sözbaşylarynyň ýoklugy hüjümçilere basmak, sessiýa gutapjyklaryny ogurlamak ýa-da saýt skriptlerini (XSS) [S1] ýerine ýetirmäge mümkinçilik berýär. Bu görkezmeler bolmazdan, brauzerler [S2] maglumatlaryň arassalanmagyna we rugsatsyz ulanyjy hereketlerine sebäp bolup, howpsuzlyk çäklerini ýerine ýetirip bilmeýärler.

Kök sebäp

Mesele web serwerlerini ýa-da adaty HTTP howpsuzlyk sözbaşylaryny goşmak üçin amaly çarçuwalary düzüp bilmezlikden gelip çykýar. Ösüş köplenç işleýän HTML we CSS [S1]-i ileri tutsa-da, howpsuzlyk konfigurasiýalary ýygy-ýygydan goýulmaýar. MDN obserwatoriýasy ýaly gözegçilik gurallary bu ýiten gorag gatlaklaryny ýüze çykarmak we brauzer bilen serweriň arasyndaky täsiriň [S2] howpsuzlygyny üpjün etmek üçin döredildi.

Tehniki maglumatlar

Howpsuzlyk sözbaşylary, umumy gowşaklyklary azaltmak üçin brauzere ýörite howpsuzlyk görkezmeleri berýär:

  • Mazmun howpsuzlygy syýasaty (CSP): Haýsy çeşmeleriň ýüklenip biljekdigini gözegçilikde saklaýar, rugsatsyz skript ýerine ýetirilmeginiň we maglumat sanjymynyň öňüni alýar [S1].
  • Gaty ulag-howpsuzlyk (HSTS): Brauzeriň diňe ygtybarly HTTPS birikmeleri [S2] arkaly aragatnaşyk saklamagyny üpjün edýär.
  • X-çarçuwaly opsiýalar: Programmanyň iframe görnüşinde görkezilmeginiň öňüni alýar, bu [S1] basmakdan esasy gorag.
  • X-Mazmun-Görnüş-Görnüşler: Brauzeriň faýllary görkezilenlerden tapawutly MIME görnüşi hökmünde düşündirmeginiň öňüni alýar, ZIMCVFIXVIBETOKEN0ZXCV MIME hüjümlerini duruzýar.

FixVibe munuň üçin nädip synag edýär

FixVibe muny web programmasynyň HTTP jogap sözbaşylaryny seljermek arkaly kesgitläp biler. Netijeleri MDN Obserwatoriýa standartlary bilen deňeşdirip, [S2], FixVibe CSP, ZXCVFIXVIBETOKEN4ZX

Düzediň

[S1] standart howpsuzlyk ýagdaýynyň bir bölegi hökmünde aşakdaky jogaplary ähli jogaplara goşmak üçin web serwerini (meselem, Nginx, Apache) täzeläň:

  • Mazmun-Howpsuzlyk-Syýasat : Resurs çeşmelerini ygtybarly domenler bilen çäklendiriň.
  • Gaty-transport-howpsuzlyk : Uzyn max-age bilen HTTPS-i güýçlendiriň.
  • X-Mazmun-Görnüş Görnüşleri : nosniff [S2] düzüň.

4.