Configuración del terminal admitida

Encabezados de seguridad

Los encabezados de seguridad son encabezados de respuesta HTTP que pueden ser usados para aumentar la seguridad de su aplicación. En otras palabras, estos encabezados indican al navegador web que active una serie de medidas de seguridad para proteger su sitio contra ataques.

Encabezados admitidos

Seguridad de transporte estricta

La seguridad de transporte estricta es un mecanismo de políticas de seguridad web que ayuda a resguardar los sitios web frente a ataques de degradación de protocolo y secuestros de sesión. Esta política permite a los servidores web interactuar mediante conexiones HTTPS seguras y nunca mediante protocolos HTTP inseguros.

X-Frame-Options

El encabezado de respuesta X-Frame-Options aumenta la protección de las aplicaciones web frente al secuestro de clic. Esto desactiva los marcos en línea que están en el sitio y no deja que otros empotren su contenido.

X-XSS-Protection

X-XSS-Protection les permite a los desarrolladores que cambien el comportamiento de los filtros de seguridad en las secuencias en comandos de sitios cruzados. Estos filtros permiten reconocer entradas HTML inseguras y no permiten que el sitio cargue, o bien eliminan las secuencias de comandos posiblemente maliciosas.

X-Content-Type-Options

Este encabezado generalmente se usa para controlar la función sniffing de tipo MIME en los navegadores web. Si el encabezado Content-Type está vacío o no está presente, el navegador reconoce el contenido e intenta mostrar la fuente de una manera adecuada.

Content-Security-Policy

Este encabezado ofrece un grado adicional de seguridad frente a diversas vulnerabilidades, como XSS, secuestro de clic, degradaciones del protocolo y la introducción de trama. Si está activado, tiene mucha indicencia en la manera en la cual los navegadores renderizan las páginas.

X-Permitted-Cross-Domain-Policies

Un archivo de política de varios dominios es un documento XML que otorga a un cliente web, como Adobe Flash Player o Adobe Acrobat (entre otros), permiso para manejar información en varios dominios.

Referrer-Policy

Por el encabezado de HTTP Referrer-Policy se rige qué información de referencia, que se envía en el encabezado Referrer, debe ser incluida en las solicitudes que se hagan. En otras palabras, este encabezado de seguridad puede agregarse a las comunicaciones desde el servidor del sitio web hasta el cliente.

Feature-Policy

El encabezado Feature-Policy ofrece un mecanismo para permitir y denegar el uso de las características y las API del navegador en su propia trama.

Access-Control-Allow-Origin

El encabezado Access-Control-Allow-Origin está incluido en la respuesta de un sitio web a una solicitud que se haya originado en otro sitio web y también reconoce el origen permitido de la solicitud.

Expect-CT

Este es un encabezado de tipo respuesta por el que se bloquea el uso de certificados mal emitidos para un sitio y que permite velar por que no pasen desapercibidos.

Public-Key-Pins

Este encabezado de respuesta es un mecanismo de seguridad que les permite a los sitios web HTTPS resistir las suplantaciones de identidad de los atacantes que usen certificados mal emitidos o fraudulentos.

¿Cómo afectan los encabezados la calificación del servidor?

Por ejemplo, el encabezado Seguridad de transporte estricta está calificado. Esta es la explicación:

Validación Calificación del servidor
edad máxima < 10368000 (120 days) At risk
max-age >= 10368000 y edad máxima < 31536000 Secure
max-age >= 31536000 (1 año) Muy seguro

El encabezado Seguridad de transporte estricta recibe una calificación solo si la solicitud se aprueba (HTTP 200 OK).

Encabezados de respuesta HTTP

Los encabezados de respuesta HTTP tienen información, por ejemplo, la fecha, el tamaño y el tipo de archivo, que el servidor web le devolverá al navegador luego de recibir una solicitud HTTP.

Se pueden analizar todos los encabezados que se reciban en la respuesta HTTP.

Cifrado

Para una comunicación segura, el cliente TLS y el servidor deben acordar los algoritmos y las claves criptográficas que ambos usarán para la conexión segura.

Sin embargo, hay combinaciones posibles de varias opciones y TLS solo permite algunas combinaciones bien definidas de estas opciones, llamadas conjuntos de cifrado.

Discovery reconoce todos los conjuntos de cifrado que admite el servidor y los clasifica en las categorías inseguro, débil y seguro, de acuerdo con las mejores prácticas del sector.

Débil

  1. Conjuntos de cifrado con AES con modo CBC
  2. 3DES

Inseguro

  1. RC4
  2. Cifrado EXPORTAR.
  3. Cifrados mediante MD5
  4. Cifrados nulos
  5. Cifrados mediante una autenticación anónima
  6. DES

La categoría “seguro” está compuesta de conjuntos de cifrado recomendados que pueden usarse de manera segura.