Τι είναι οι κεφαλίδες ασφαλείας και γιατί τις χρειάζεστε στην ιστοσελίδα σας
19/5/2020

HTTP HEADERS

Στο θέμα ασφάλειας μιας ιστοσελίδας, υπάρχουν πολλά πράγματα τα οποία πρέπει να συνυπολογισθούν. Ένα καλό σημείο έναρξης είναι η αξιοποίηση των http κεφαλίδων ασφαλείας (http security headers).

Με τις κεφαλίδες αυτές, διασφαλίζετε ότι ο ιστοχώρος σας συμβαδίζει σε ένα βαθμό με τις βέλτιστες πρακτικές ασφαλείας στον χώρο του διαδικτύου.

Στις περισσότερες περιπτώσεις, η εφαρμογή των http security headers σε μία ιστοσελίδα είναι σχετικά εύκολη διαδικασία και απαιτεί κάποιες επίσης σχετικά εύκολες παραμετροποιήσεις του διακομιστή (web server) ή/και της ίδιας της ιστοσελίδας.

bΟι http κεφαλίδες ασφαλείας προσφέρουν ακόμη ένα επίπεδο ασφαλείας στην ιστοσελίδα σας και σας βοηθούν να μετριάσετε επιθέσεις σε τυχόν τρωτά σημεία αυτής.

Τι είναι ακριβώς τα http security headers

Όταν ένας χρήστης μέσω ενός προγράμματος φυλλομετρητή ιστοσελίδων (web browser: google chrome, firefox, IE, κλπ) από τον υπολογιστή ή οποιαδήποτε άλλη συσκευή του ζητά μια σελίδα από έναν διακομιστή δικτύου (web server), ο διακομιστής σερβίρει το περιεχόμενο του ιστοχώρου, μαζί με κάποιες συνοδευτικές κεφαλίδες (http headers). Οικεφαλίδες αυτές δεν είναι εμφανείς στον χρήστη, αλλά βοηθούν στην επεξεργασία και εμφάνιση της ιστοσελίδας από τον browser του χρήστη/επισκέπτη.

Μερικές από αυτές τις κεφαλίδες περιέχουν π.χ. τις μετα-πληροφορίες της ιστοσελίδας (meta data), τη κωδικοποίηση της γλώσσας της ιστοσελίδας, κωδικοί έλεγχου (status codes) και διάφορες άλλες σημαντικές πληροφορίες προς το πρόγραμμα φυλλομετρητή (web browser).

Μαζί με αυτές τις πληροφορίες λοιπόν, ένας διακομιστής (web server) περιλαμβάνει και τις κεφαλίδες ασφαλείας (http security headers). Κεφαλίδες οι οποίες ενημερώνουν τον browser πως να συμπεριφερθεί όταν επεξεργάζεται το περιεχόμενο της ιστοσελίδας σας, στην οθόνη ενός επισκέπτη.

Για παράδειγμα, χρησιμοποιώντας την κεφαλίδα ασφαλείας (security header) Strict-Transport-Security, μπορείτε να διασφαλίσετε ότι όλη η ηλεκτρονική επικοινωνία η οποία γίνεται μεταξύ ενός web browser στα χέρια ενός επισκέπτη και του διακομιστή της ιστοσελίδα σας (web server), να γίνεται αποκλειστικά κάτω από την ομπρέλα του ασφαλούς πρωτοκόλου κρυπτογραφημένης επικοινωνίας HTTPS.

Θα πρέπει να αναφερθεί εδώ, ότι οι κεφαλίδες ασφαλείας είναι ένας χώρος δυναμικός, με συνεχή εξέλιξη, καθώς νέες προκλήσεις εμφανίζονται συνεχώς.

Οπότε, αν μια ιστοσελίδα συμπεριλαμβάνει τις βασικές κεφαλίδες σσφαλείας στο περιεχόμενό της, αυτό δεν σημαίνει ότι η διαδικασία σταματά εδώ. Ο τεχνικός ή η εταιρεία με την οποία συνεργάζεστε στο θέμα της φιλοξενίας και ασφάλειας του ιστοχώρου σας, θα πρέπει να παρακολουθεί τις εξελίξεις και να εφαρμόζει στην ιστοσελίδα σας τις βέλτιστες πρακτικές ασφαλείας που προτείνονται από την παγκόσμια κοινότητα.

Σε γενικές γραμμές, αυτή τη στιγμή, υπάρχουν γύρω στις δέκα (10) βασικές και σημαντικές κεφαλίδες ασφαλείας (http security headers) για τις οποίες θα πρέπει ο διακομιστής φιλοξενίας ή/και η ιστοσελίδα σας να λαμβάνουν υπόψη, έτσι ώστε να διασφαλίζουν ακόμη περισσότερο την ασφάλεια του ιστοχώρου σας.

http security headers

Content Security Policy

Η Content-Security-Policy κεφαλίδα, προσδίδει σε μία ιστοσελίδα, ένα επιπλέον επίπεδο ασφάλειας. Με την χρήση της, μπορείτε να αποφύγετε επιθέσεις τύπου Cross Site Scripting (XSS) και άλλες παρόμοιες τύπου επιθέσεις, με το να καθορίσετε τις αποδεκτές πηγές του περιεχόμενου της ιστοσελίδα σας.

Όλα τα κύρια προγράμματα browser της αγοράς προσφέρουν υποστήριξη γι αυτή την κεφαλίδα ασφαλείας. Τέλος, η εμφάνιση μιας ιστοσελίδα δε θα σπάσει στην περίπτωση που ένας browser παλαιότερης έκδοσης που δεν υποστηρίζει το content=security-policy header, ανόιξει μια ιστοσελίδα που κάνει χρήση της εν λόγω κεφαλίδας ασφαλείας.

X-XSS-Protection

Το X-XSS-Protection security header έχει σχεδιαστεί για να ενεργοποιείται ένα φίλτρο στη χρήση κώδικα script μεταξύ ιστοσελίδων. Η χρήση του κατά τη στιγμή της συγγραφής του άρθρου υποστηρίζεται από τα προγράμματα Internet Explorer 8+, Chrome, and Safari.

HTTP Strict Transport Security (HSTS)

Η HTTP Strict Transport Security(HSTS) κεφαλίδα, περιορίζει τους φυλλομετρητές (web browsers) σε επικοινωνία με τους διακομιστές (web servers) μιας ιστοσελίδας, MONON μέσω της χρήσης του πρωτοκόλου επικοινωνίας HTTPS. Το γεγονός αυτό, διασφαλίζει ότι η επικοινωνία μεταξύ χρήστη και ιστοσελίδας δεν μπορεί να γίνει μέσω μη ασφαλούς κρυπτογραφημένης σύνδεσης, σύνδεση η οποία είναι επιρρεπής σε επιθέσεις. Όλοι οι κύριοι μοντέρνοι φυλλομετρητές, υποστηρίζουν την χρήση αυτού του HTTP security header.

X-Frame-Options

To X-Frame-Options security header προσφέρει προστασία από επιθέσεις τύπου clickjacking (υποκλοπή κλικ) με το να μην επιτρέπει στοιχεία όπως iframes να φορτώνουν στην ιστοσελίδα σας. Η υποκλοπή κλικ (clickjacking) είναι μια διαδεδομένη τύπου επιθέση σε μια ιστοσελίδα, όπου ένας ανυποψίαστος επισκέπτης κάνει κλικ σε ένα στοιχείο μιας ιστοσελίδας π.χ. για να συμπληρώσει τα στοιχεία επικοινωνία τους αλλά τα κουμπί αποστολή, δεν ανήκει στην ιστοσελίδα, αλλά σε κάποιον τρίτο, ο οποίος έχει καταφέρει να "hackάρει" την ιστοσελίδα και να παρουσιάζει περιεχόμενο σχεδόν εφάμιλο της ίδιας της ιστοσελίδας. Υποστηρίζεται από τους φυλλομετρητές IE 8+, Chrome 4.1+, Firefox 3.6.9+, Opera 10.5+, Safari 4+.

http protocol

Expect-CT

Το Expect-CT header αποτρέπει την κακή χρήση πιστοποιητικών ασφαλείας, με το να επιτρέπει τη εμφάνιση διαφανών στοιχείων ενός πιστοποιητικού ασφαλείας. Όταν αυτή η κεφαλίδα είναι σε χρήση, η ιστοσελίδα ζητάει από τον browser του επισκέπτη να επαληθεύσει από μία τρίτη αρχή, αν το πιστοποιητικό ασφαλείας που χρησιμοποιεί για να επικοινωνήσει η ιστοσελίδα με τον browser έχει τα σωστά στοιχεία.

X-Content-Type-Options

Η X-Content-Type-Options κεφαλίδα αποτρέπει το λεγόμενο "sniffing" το οποίο πραγματοποιούν για δικούς του λόγους, οι browsers Internet Explorer και Google Chrome. Η κεφαλίδα αυτή, διατάσσει τους φυλλομετρητές που κάνουν "sniff", να συμπεριφερθούν όπως ακριβώς αυτό ορίζεται στην τιμή της κεφαλίδας ασφαλείας.

Feature-Policy

Η Feature-Policy κεφαλίδα ασφαλείας, δίνει την ευχέρεια να ελεγχούν κάποιες δυνατότητες των σύγχρονων browsers όπως (geolocation, χρήση κάμερας, δόνηση, κ.ά). Για παράδειγμα, μια απλή ιστοσελίδα ενός ηλεκτρονικού καταστήματος, δεν έχει συνήθως την απαίτηση η κάμερα του χρήστη να είναι ανοικτή, για να μπορεί κάποιος να πλοηγηθεί στη σελίδα. "Κόβωντας" κάποιες δυνατότητες των web browsers μέσω της κεφαλίδας αυτής, περιορίζεται ο κίνδυνος σε περιπτώση χακαρίσματος, να γίνει χρήση αυτών των δυνατοτήτων από τρίτους, από τον ιστοχώρο σας.

HTTP Public Key Pinning

Ελαχιστοποιεί τις επιθέσεις τύπου man-in-the-middle (MIMT) με το "καρφίτσωμα" (pinning) του πιστοποιητικού ασφαλείας σε χρήση, καθ'όλη τη διάρκεια "συνομιλίας" διακομιστή (web server) και φυλλομετρητή ιστοσελίδων (web browser) στη πλευρά του επισκέπτη. Η εν λόγω κεφαλίδα, αυτή τη στιγμή υποστηρίζεται από τους Firefox και Google Chrome με SHA-256 hash αλγόριθμους.

X-Permitted-Cross-Domain-Policies

Αν χρησιμοποιείτε τεχνολογίες και προϊόντα της Adobe όπως PDF, Flash κλπ., μπορείτε να εφαρμόσετε αυτή τη κεφαλίδα για να ορίσετε πώς θα γίνεται η χρήση αυτών των εργαλείων/προϊόντων, από τους browsers των επισκεπτών της ιστοσελίδα σας.

Referrer-Policy

Η κεφαλίδα ασφαλείας αυτή, είναι πάρα πολύ χρήσιμη αν θέλετε να κρύψετε κάποια στατιστικά στοιχεία τύπου analytics από πιθανούς ανταγωνιστές σας. Η χρήση της κεφαλίδας αυτής, δεν υποστήριζεται από όλους τους φυλλομετρητές ιστοσελίδων.

Πώς να ελέγξετε τις κεφαλίδες ασφαλείας (http security headers) για την ιστοσελίδα σας

Απλά επισκεφθείτε την ιστοσελίδα https://securityheaders.io (δημιουργός Scott Helme) και πληκτρολογήστε το όνομα της ιστοσελίδας στο αντίστοιχο πεδίο. Η σελίδα σας θα σκαναριστεί δωρεάν και τα αποτέλεσματα του ελέγχου, μαζί με ένα σκορ κατάταξης από το Α+ (ως τη καλύτερη βαθμολογία) εως το F (για την χειρότερη), για το επίπεδο ασφάλείας των http security headers της ιστοσελίδας σας, θα εμφανιστεί στην οθόνη σας. Τα αποτέλσματα του ελέγχου, ίσως σας σοκάρουν...

secuirty headers

Σημπληρώστε την παρακάτω φόρμα και η εταιρεία μας, σας προσφέρει έναν ΔΩΡΕΑΝ τεχνικό έλεγχο εντός 24 ωρών, για τις κεφαλίδες ασφαλείας της ιστοσελίδας σας!