Configuração suportada do ponto de extremidade

Cabeçalhos de segurança

Cabeçalhos de segurança descrevem os cabeçalhos de resposta HTTP que podem ser usados para aumentar a segurança do seu aplicativo. Em outras palavras, esses cabeçalhos instruem o navegador da Web a ativar um conjunto de precauções de segurança que protegem seu site contra ataques.

Cabeçalhos suportados

Segurança de transporte estrita

O Strict Transport Security é um mecanismo de política de segurança da Web que ajuda a proteger sites contra ataques de downgrade de protocolo e sequestro de cookies. Essa política permite que os servidores da Web interajam usando conexões HTTPS seguras e nunca via protocolo HTTP inseguro.

Opções de quadro X

O cabeçalho de resposta X-Frame-Options aprimora a proteção de aplicativos da web contra o furto de clique (Clickjacking). Isso desativa os iframes presentes no site e não permite que outras pessoas incorporem seu conteúdo.

Proteção-X-XSS

O X-XSS-Protection permite que os desenvolvedores alterem o comportamento dos filtros de segurança de script entre sites. Esses filtros identificam entradas HTML inseguras e impedem o carregamento do site ou removem scripts potencialmente maliciosos.

Opções de tipo de conteúdo X

Esse cabeçalho geralmente é usado para controlar a função de detecção do tipo MIME em navegadores da web. Se o cabeçalho do tipo de conteúdo estiver em branco ou ausente, o navegador identificará o conteúdo e tentará exibir a fonte de maneira apropriada.

Política de segurança do conteúdo

Esse cabeçalho fornece uma camada extra de segurança contra várias vulnerabilidades, como XSS, Clickjacking, Downgrade de Protocolo e Injeção de Quadro. Se ativado, isso tem um impacto significativo na maneira como os navegadores processam as páginas.

X-Permitted-Cross-Domain-Policies

Um arquivo de política entre domínios é um documento XML que concede a um cliente da Web, como o Adobe Flash Player ou Adobe Acrobat (embora não necessariamente limitado a estes), permissão para manipular dados entre domínios.

Política de referência

O cabeçalho HTTP da política do referenciador controla quais informações do referenciador, enviadas no cabeçalho do referenciador, devem ser incluídas nos pedidos feitos. Em outras palavras, esse cabeçalho de segurança pode ser incluído na comunicação do servidor do site para um cliente.

Política de recursos

O cabeçalho da Política de recursos fornece um mecanismo para permitir e negar o uso de recursos do navegador e APIs em seu próprio quadro.

Controle de Acesso-Permitir Origem

O cabeçalho Access-Control-Allow-Origin está incluído na resposta de um site a uma solicitação originada em outro site e também identifica a origem permitida da solicitação.

Expect-CT

Esse é um cabeçalho do tipo resposta que impede o uso de certificados emitidos incorretamente para um site e garante que eles não passem despercebidos.

Pins de chaves públicas

Esse cabeçalho de resposta é um mecanismo de segurança que permite que sites HTTPS resistam à representação de invasores usando certificados emitidos incorretamente ou de outra forma fraudulenta.

Como os cabeçalhos afetam a classificação do servidor?

Por exemplo, o cabeçalho Segurança de transporte estrita é classificado. A explicação segue:

Validação Classificação do servidor
idade-max < 10368000 (120 days) At risk
max-age >= 10368000 e idade-max < 31536000 Secure
max-age >= 31536000 (1 ano) Bastante protegido

O Strict-Transport-Security é classificado apenas se a solicitação for bem-sucedida (HTTP 200 OK).

Cabeçalhos de resposta HTTP

Os cabeçalhos de resposta HTTP possuem informações que incluem a data, tamanho e tipo de arquivo que o servidor da Web está enviando de volta ao navegador ao receber uma solicitação HTTP.

Todos os cabeçalhos recebidos na resposta HTTP estão disponíveis para análise.

Codificação

Para uma comunicação segura, o cliente TLS e o servidor precisam concordar com os algoritmos criptográficos e as chaves que ambos usam para conexão segura.

No entanto, existem combinações possíveis de inúmeras opções e o TLS permite apenas certas combinações bem definidas dessas opções, conhecidas como Cipher Suites.

O Discovery identifica todos os conjuntos de criptografia suportados pelo servidor e os classifica nas categorias Insegura, Fraca e Segura, com base nas melhores práticas do setor.

Fraco

  1. Cipher suite com AES com modo CBC
  2. 3DES

Inseguro

  1. RC4
  2. Cipher de EXPORT.
  3. Ciphers usando MD5
  4. Cipher tipo zero
  5. Ciphers usando autenticação anônima
  6. DES

A categoria “Seguro” envolve os cipher suites recomendados que são seguros para uso.