Configurazione endpoint supportata

Security Headers

Security Headers descrive le intestazioni di risposta HTTP che possono essere usate per aumentare la sicurezza dell’applicazione. In altre parole, queste intestazioni indicano al browser web di attivare una serie di precauzioni di sicurezza che proteggono il sito dagli attacchi.

Intestazioni supportate

Strict-Transport-Security

Strict Transport Security è un meccanismo di policy per la sicurezza web che aiuta a salvaguardare i siti web dagli attacchi di downgrade del protocollo e dalla monopolizzazione dei cookie. Questa policy consente ai server web di interagire usando le connessioni HTTPS sicure e mai attraverso protocolli HTTP non sicuri.

X-Frame-Options

L’intestazione della risposta X-Frame-Options migliora la protezione delle applicazioni web dal clickjacking. Disattiva gli iframe presenti sul sito e non consente ad altre persone di nidificare i tuoi contenuti.

X-XSS-Protection

X-XSS-Protection consente agli sviluppatori di cambiare il comportamento dei filtri di sicurezza Cross-Site Scripting. Questi filtri individuano gli input HTML non sicuri e bloccano il caricamento del sito o rimuovono gli script potenzialmente dannosi.

X-Content-Type-Options

Questa intestazione di solito viene usata per controllare la funzione di analisi di tipo MIME nei browser web. Se l’intestazione del Tipo di contenuto è vuota o manca, il browser identifica il contenuto e tenta di visualizzare la fonte in modo appropriato.

Content-Security-Policy

Questa intestazione fornisce un livello di sicurezza in più da più punti deboli come XSS, Clickjacking, Protocol Downgrading e Frame Injection. Se attivata, ha un impatto significativo sul modo in cui i browser rappresentano le pagine.

X-Permitted-Cross-Domain-Policies

Un file di policy cross-domain è un documento XML che concede ad un client web, come Adobe Flash Player o Adobe Acrobat (ma non necessariamente limitato a questi), l’autorizzazione di gestire i dati attraverso i domini.

Referrer-Policy

L’intestazione Referrer-Policy HTTP controlla quali informazioni di riferimento, inviate nell’intestazione Riferimento, devono essere incluse nelle richieste fatte. In altre parole, questa intestazione di sicurezza può essere inclusa nella comunicazione inviata dal server del sito web ad un client.

Feature-Policy

L’intestazione Feature-Policy fornisce un meccanismo per consentire e negare l’uso delle funzioni browser e delle API sul proprio frame.

Access-Control-Allow-Origin

L’intestazione Access-Control-Allow-Origin è inclusa nella risposta inviata da un sito web ad una richiesta che ha origine da un altro sito web e identifica anche l’origine consentita della richiesta.

Expect-CT

Questa intestazione è di tipo a risposta che impedisce l’uso di certificati emessi per sbaglio per un sito e garantisce che non vengano lasciati non monitorati.

Public-Key-Pins

Questa intestazione di risposta è un meccanismo di sicurezza che consente ai siti web HTTPS di resistere all’impersonificazione da parte di pirati informatici usando certificati emessi erroneamente o diversamente fraudolenti.

In che modo le intestazioni alterano la classificazione server?

Ad esempio, viene classificata l’intestazione Strict-Transport-Security. Ecco la spiegazione:

Convalida Classificazione server
validità massima < 10368000 (120 days) At risk
max-age >= 10368000 e validità massima < 31536000 Secure
max-age >= 31536000 (1 anno) Molto sicuro

Strict-Transport-Security è classificato solo se la richiesta si conclude correttamente (HTTP 200 OK).

Intestazioni di risposta HTTP

Le intestazioni di risposta HTTP hanno delle informazioni che includono data, dimensione e tipo di file che il server web reinvia al browser quando riceve una richiesta HTTP.

Tutte le intestazioni ricevute nella risposta HTTP sono disponibili per l’analisi.

Crittografia

Per una comunicazione sicura, il client TLS e il server devono essere concordi per gli algoritmi crittografici e le chiavi che entrambi utilizzano per una connessione sicura.

Tuttavia, esistono delle combinazioni possibili di numerose scelte e TLS consente solo determinate combinazioni ben definite di queste scelte, note come Pacchetti di crittografia.

Discovery identifica tutti i pacchetti di crittografia supportati dal server e li classifica nella categoria Non sicuro, Debole, Sicuro in base alle best practice di settore.

Debole

  1. Pacchetto di crittografia con AES con modalità CBC
  2. 3DES

Non sicuro

  1. RC4
  2. Crittografie EXPORT.
  3. Crittografie con MD5
  4. Crittografie nulle
  5. Crittografie che utilizzano l’autenticazione anonima
  6. DES

La categoria “Sicuro” comprende dei pacchetti di crittografia raccomandati che sono sicuri per l’uso.