Поддерживаемая конфигурация конечной точки

Заголовки безопасности

Заголовки безопасности описывают ответные заголовки HTTP, которые можно использовать для повышения степени безопасности вашего приложения. Другими словами, эти заголовки заставляют веб=браузер активировать набор мер безопасности, которые защищают ваш сайт от атак.

Поддерживаемые заголовки

Strict-Transport-Security

Strict Transport Security - это механизм, обеспечивающий сетевую безопасность, который позволяет защищать веб-сайты от атак, ухудшающих работу протоколов, и захвата данных типа «cookie». Данный механизм позволяет веб-серверам использовать защищенные HTTPS-соединения вместо небезопасного протокола HTTP.

X-Frame-Options

Ответный заголовок X-Frame-Options улучшает защиту web-приложений от кликджекинга. В результате плавающие фреймы, присутствующие на сайте, становятся запрещенными, и посторонние не могут использовать ваш контент.

X-XSS-Protection

X-XSS-Protection позволяет разработчикам менять поведение фильтров защиты данных межсайтового скриптинга. Эти фильтры выявляют небезопасные входные HTML-данные и либо блокируют сайт, не допуская загрузки этих данных, либо удаляют потенциально опасные скрипты.

X-Content-Type-Options

Этот заголовок обычно используется для управления функцией сниффинга типа MIME в веб-браузерах. Если заголовок Content-Type пустой или отсутствует, браузер идентифицирует контент и пытается отобразить источник соответствующим образом на экране.

Content-Security-Policy

Данный заголовок создает дополнительный уровень защиты от множественных таких уязвимостей, как XSS, «кликджекинг», снижение уровня протокола и «инжект фрейма». Если данный заголовок включен, он оказывает значительное влияние на то, каким образом браузеры отображают страницы.

X-Permitted-Cross-Domain-Policies

Кросс-доменный файл политики - это XML-документ, который предоставляет веб-клиенту, например, Adobe Flash Player или Adobe Acrobat (это могут быть и другие клиенты), разрешение на обработку данных в доменах.

Referrer-Policy

HTTP-заголовок Referrer-Policy определяет, какие «реферальные» данные, отправленные в заголовок Referrer, должны включаться в сделанные запросы. Т.е. данный заголовок безопасности может быть включен при установке связи сервера веб-сайта с клиентом.

Feature-Policy

Заголовок Feature-Policy создает механизм, позволяющий разрешать или отвергать использование функций браузера и API в его собственном фрейме.

Access-Control-Allow-Origin

Заголовок Access-Control-Allow-Origin включается в ответ одного веб-сайта на запрос, поступивший от другого веб-сайта, а также идентифицирует допустимый источник запроса.

Expect-CT

Это заголовок ответного типа, который предотвращает использование сертификатов, выпущенных для сайта по ошибке, а также гарантирует, что подобные сертификаты не останутся незамеченными.

Public-Key-Pins

Этот ответный заголовок представляет собой защитный механизм, который позволяет веб-сайтам, использующим протокол HTTPS, сопротивляться взломщикам, маскирующимся под законных пользователей, которые используют сертификаты, выпущенные по ошибке или фальсифицированные каким-либо другим способом.

Как заголовки влияют на рейтинг сервера?

В качестве примера оценим заголовок Strict-Transport-Security. Ниже приводится объяснение:

Проверка Рейтинг сервера
макс-срок < 10368000 (120 days) At risk
max-age >= 10368000 и макс-срок < 31536000 Secure
max-age >= 31536000 (1 год) С очень высокой степенью защиты

Заголовок Strict-Transport-Security оценивается только в том случае, если запрос выполняется (HTTP 200 OK).

Ответные заголовки HTTP

Ответные заголовки HTTP содержат информацию о дате, размере и типе файла, который веб-сервер возвращает браузеру при получении запроса HTTP.

Все заголовки, полученные в ответе HTTP, можно проанализировать.

Шифр

Для обеспечения передачи данных через защищенные соединения клиент TLS и сервер должны договориться о криптографических алгоритмах и ключах, которые они будут использовать в защищенных соединениях.

При этом существует огромное количество возможных комбинаций, при этом TLS позволяет использовать только четко определенные комбинации различных вариантов, называемые наборами шифров.

Служба Discovery идентифицирует все наборы шифров, поддерживаемых сервером, и, в соответствии с отраслевыми стандартами, разделяет их на категории «Незащищенный», «Слабо защищенный» и «Защищенный».

Слабо защищенный

  1. Набор шифров с AES с режимом CBC
  2. 3DES

Незащищенный

  1. RC4
  2. ЭКПОРТ шифров.
  3. Шифры, использующие MD5
  4. Нуль-шифры
  5. Шифры, использующие анонимную аутентификацию
  6. DES

Категория “Защищенный” состоит из рекомендованных наборов шифров, безопасных для использования.