FixVibe
Covered by FixVibemedium

הטטפּ זיכערהייט כעדערז: ימפּלאַמענינג CSP און HSTS פֿאַר בראַוזער-זייַט דיפענס

דער פאָרשונג יקספּלאָרז די קריטיש ראָלע פון הטטפּ זיכערהייט כעדערז, ספּאַסיפיקלי אינהאַלט זיכערהייט פּאָליטיק (CSP) און הטטפּ שטרענג טראַנספּאָרט זיכערהייט (HSTS), אין פּראַטעקטינג וועב אַפּלאַקיישאַנז פון פּראָסט וואַלנעראַביליטיז ווי קרייַז-סייט סקריפּטינג (XSS) און פּראָטאָקאָל דאַונגראַדע.

CWE-1021CWE-79CWE-319

די ראָלע פון זיכערהייט העאַדערס

הטטפּ זיכערהייט כעדערז צושטעלן אַ סטאַנדערדייזד מעקאַניזאַם פֿאַר וועב אַפּלאַקיישאַנז צו אָנווייַזן בראַוזערז צו דורכפירן ספּעציפיש זיכערהייט פּאַלאַסיז בעשאַס אַ סעסיע [S1] [S2]. די כעדערז אַקט ווי אַ קריטיש שיכטע פון ​​פאַרטיידיקונג-אין-טיפקייַט, מיטאַגייטינג ריסקס וואָס קען נישט זיין גאָר גערעדט דורך אַפּלאַקיישאַן לאָגיק אַליין.

אינהאַלט זיכערהייט פּאָליטיק (CSP)

אינהאַלט זיכערהייט פּאָליטיק (CSP) איז אַ זיכערהייט שיכטע וואָס העלפּס דיטעקט און פאַרמינערן זיכער טייפּס פון אנפאלן, אַרייַנגערעכנט קרייַז-סייט סקריפּטינג (XSS) און דאַטן ינדזשעקשאַן אנפאלן [S1]. CSP פּריווענץ דעם בלעטערער פון עקסאַקיוטינג בייזע סקריפּס ינדזשעקטיד דורך אַ אַטאַקער [S1] דורך דיפיינינג אַ פּאָליטיק וואָס ספּעציפיצירט וואָס דינאַמיש רעסורסן זענען ערלויבט צו לאָדן. דאָס יפעקטיוולי ריסטריקץ די דורכפירונג פון אַנאָטערייזד קאָד אפילו אויב אַ ינדזשעקשאַן וואַלנעראַביליטי יגזיסץ אין די אַפּלאַקיישאַן.

הטטפּ שטרענג אַריבערפירן זיכערהייט (HSTS)

הטטפּ שטרענג טראַנספּאָרט זיכערהייט (HSTS) איז אַ מעקאַניזאַם וואָס אַלאַוז אַ וועבזייטל צו מיטטיילן בראַוזערז אַז עס זאָל זיין אַקסעסט בלויז מיט הטטפּס, אלא ווי HTTP [S2]. דאָס פּראַטעקץ קעגן פּראָטאָקאָל דאַונגרייד אנפאלן און קיכל כיידזשאַקינג דורך ינשורינג אַז אַלע קאָמוניקאַציע צווישן דעם קליענט און די סערווער איז ינקריפּטיד [S2]. אַמאָל אַ בלעטערער נעמט דעם כעדער, עס וועט אויטאָמאַטיש גער אַלע סאַבסאַקוואַנט פרווון צו אַקסעס די פּלאַץ דורך הטטפּ אין הטטפּס ריקוועס.

זיכערהייט ימפּלאַקיישאַנז פון פעלנדיק כעדערז

אַפּפּליקאַטיאָנס וואָס דורכפאַל צו ינסטרומענט די כעדערז זענען אין אַ באטייטיק העכער ריזיקירן פון קליענט-זייַט קאָמפּראָמיס. דער אַוועק פון אַ אינהאַלט זיכערהייט פּאָליטיק אַלאַוז די דורכפירונג פון אַנאָטערייזד סקריפּס, וואָס קענען פירן צו סעסיע כיידזשאַקינג, אַנאָטערייזד דאַטן עקספילטריישאַן אָדער דיפאַסעמאַנט [S1]. סימילאַרלי, די פעלן פון אַ HSTS כעדער לאָזן יוזערז סאַסעפּטאַבאַל צו מענטש-אין-דעם-מיטם (MITM) אנפאלן, ספּעציעל אין דער ערשט קשר פאַסע, ווו אַ אַטאַקער קענען ינטערסעפּט פאַרקער און רידערעקט די באַניצער צו אַ בייזע אָדער אַנענקריפּטיד ווערסיע פון ​​די פּלאַץ [S2].

ווי FixVibe טעסץ פֿאַר עס

FixVibe כולל דאָס שוין ווי אַ פּאַסיוו יבערקוקן טשעק. headers.security-headers ינספּעקץ עפנטלעך הטטפּ ענטפער מעטאַדאַטאַ פֿאַר די בייַזייַן און שטאַרקייט פון Content-Security-Policy, Strict-Transport-Security, X-Frame-Options אָדער ZXCVFIXVIBETOKEN4KENZXCV, ZXCVFIXVICV, Strict-Transport-Security, Referrer-Policy און Permissions-Policy. עס ריפּאָרץ פעלנדיק אָדער שוואַך וואַלועס אָן גווורע פּראָבעס, און זיין פאַרריכטן פּינטלעך גיט ביישפילן פֿאַר כעדער ביישפילן פֿאַר פּראָסט אַפּ און CDN סעטאַפּס.

רעמעדיאציע אנווייזונג

צו פֿאַרבעסערן זיכערהייט האַלטנ זיך, וועב סערווערס מוזן זיין קאַנפיגיערד צו צוריקקומען די כעדערז אויף אַלע פּראָדוקציע רוץ. א געזונט CSP זאָל זיין טיילערד צו די אַפּלאַקיישאַן ס ספּעציפיש מיטל רעקווירעמענץ, ניצן דיירעקטיווז ווי script-src און object-src צו באַגרענעצן שריפט דורכפירונג ינווייראַנמאַנץ [S1]. פֿאַר אַריבערפירן זיכערהייט, די Strict-Transport-Security כעדער זאָל זיין ענייבאַלד מיט אַ צונעמען max-age דירעקטיוו צו ענשור פּערסיסטענט שוץ איבער באַניצער סעשאַנז [S2].