Skip to main content

Configurazione endpoint supportata

Security Headers

Security Headers sono le intestazioni di risposta HTTP che possono essere usate per aumentare la sicurezza dell’applicazione. In altre parole, queste intestazioni indicano al browser web di attivare le precauzioni di sicurezza che proteggono il sito dagli attacchi.

Intestazioni supportate

Strict-Transport-Security

Strict Transport Security è un criterio per la sicurezza web che aiuta a salvaguardare i siti web dagli attacchi di downgrade del protocollo e dalla monopolizzazione dei cookie. Questa policy consente ai server web di interagire usando le connessioni HTTPS sicure e mai attraverso protocolli HTTP non sicuri.

X-Frame-Options

L’intestazione X-Frame-Options migliora la protezione delle applicazioni web dal clickjacking. Disattiva gli iframe sul sito e non consente ad altre persone di incorporare i tuoi contenuti.

X-XSS-Protection

X-XSS-Protection consente agli sviluppatori di cambiare il comportamento dei filtri di sicurezza Cross-Site Scripting. Questi filtri individuano gli input HTML non sicuri e bloccano il caricamento del sito o rimuovono gli script potenzialmente dannosi.

X-Content-Type-Options

Questa intestazione di solito viene usata per controllare la funzione di analisi di tipo MIME nei browser web. Se l’intestazione del Tipo di contenuto è vuota o manca, il browser identifica il contenuto e tenta di visualizzare la fonte in modo appropriato.

Content-Security-Policy

Questa intestazione fornisce un livello di sicurezza in più da più vulnerabilità come XSS, Clickjacking, Protocol Downgrading e Frame Injection. Se attivata, ha un impatto significativo sul modo in cui i browser rappresentano le pagine.

X-Permitted-Cross-Domain-Policies

Un file di cross-domain policy è un documento XML che concede a un client web come Adobe Flash Player o Adobe Acrobat l’autorizzazione di gestire i dati attraverso i domini.

Referrer-Policy

L’intestazione Referrer-Policy controlla quali informazioni di riferimento, inviate nell’intestazione Riferimento, devono essere incluse nelle richieste fatte. Questa intestazione di sicurezza può essere inclusa nella comunicazione inviata dal server del sito web a un client.

Feature-Policy

L’intestazione Feature-Policy fornisce un meccanismo per consentire e negare l’uso delle funzioni browser e delle API sul proprio frame.

Access-Control-Allow-Origin

L’intestazione Access-Control-Allow-Origin è inclusa nella risposta inviata da un sito web a una richiesta che ha origine da un altro sito web. Identifica anche l’origine permessa della richiesta.

Expect-CT

Questa intestazione è di tipo a risposta che impedisce l’uso di certificati emessi per sbaglio per un sito e garantisce che siano monitorati.

Public-Key-Pins

Questa intestazione di risposta è un meccanismo di sicurezza che consente ai siti web HTTPS di resistere all’impersonificazione da parte di pirati informatici usando certificati emessi erroneamente o fraudolenti.

In che modo le intestazioni alterano la valutazione del server?

Ad esempio, viene valutata l’intestazione Strict-Transport-Security. Ecco la spiegazione:

Convalida

Classificazione server

validità massima < 10368000 (120 giorni)

A rischio

validità massima >= 10368000 e validità massima < 31536000

Sicuro

validità massima >= 31536000 (1 anno)

Molto sicuro

Nota

Strict-Transport-Security è classificato solo se la richiesta si conclude correttamente (HTTP 200 OK).

Intestazioni di risposta HTTP

Le intestazioni di risposta HTTP hanno delle informazioni che includono data, dimensione e tipo di file che il server reinvia al browser quando riceve una richiesta HTTP.

Tutte le intestazioni ricevute nella risposta HTTP sono disponibili per l’analisi.

Crittografia

Per una comunicazione sicura, il client TLS e il server devono essere concordi per gli algoritmi crittografici e le chiavi che entrambi utilizzano per una connessione sicura.

Esistono tuttavia possibili combinazioni di numerose scelte. TLS consente solo determinate combinazioni ben definite di queste scelte, note come pacchetti di crittografia.

Discovery identifica tutti i pacchetti di crittografia supportati dal server e li classifica nella categoria Non sicuro, Debole o Sicuro in base alle best practice di settore.

Debole

  • Pacchetto di crittografia con AES con modalità CBC

  • 3DES

Non sicuro

  • RC4

  • Crittografie EXPORT

  • Crittografie con MD5

  • Crittografie nulle

  • Crittografie che utilizzano l’autenticazione anonima

  • DES

Nota

La categoria “Sicuro” comprende dei pacchetti di crittografia raccomandati che sono sicuri per l’uso.