И, как обычно, есть ресурсы, с помощью которых можно проверить насколько корректно вы указали эти заголовки. Первый из них — securityheaders.io<\/a>, работает очень быстро, корректно указанные по его мнению заголовки выделяются зеленым цветом. Некоторые он не выделяет, но, думаю, что на них он просто не обращает внимание.<\/p>\n Второй ресурс — Redbot<\/a>. В левой части страницы он показывает заголовки, которые он смог получить. В правой вкратце описывается действие заголовка, также значками выделяется корректность их указания. Стадия их получения почему-то немного затянута, на мой взгляд — около 1 минуты, будем надеяться, что это будет исправлено. Также есть возможность включить в запрос дополнительные параметры.<\/p>\n Если вы думаете, что я что-то пропустил, то пишите в комментариях.<\/p>\n",
"date_published": "2016-08-31T11:39:41+07:00",
"date_modified": "2016-09-03T14:05:51+07:00",
"tags": [
"hsts",
"HTTP Public Key Pinning",
"HTTP Strict Transport Security",
"HttpOnly",
"HTTPS",
"noopen",
"nosniff",
"SAMEORIGIN",
"Secure",
"security",
"Server",
"Set-Cookie",
"X-Content-Type-Options",
"X-Download-Options",
"X-Frame-Options",
"X-Powered-By",
"X-XSS-Protection",
"XSS",
"безопасность",
"сервер"
],
"_date_published_rfc2822": "Wed, 31 Aug 2016 11:39:41 +0700",
"_rss_guid_is_permalink": "false",
"_rss_guid": "8",
"_e2_data": {
"is_favourite": false,
"links_required": [],
"og_images": []
}
},
{
"id": "6",
"url": "https:\/\/kini24.ru\/all\/dobavlenie-v-spisok-hsts-preloading\/",
"title": "Добавление в список HSTS Preloading",
"content_html": " Как это ни странно, но время ожидания добавления в список HSTS Preloading после подачи заявки составило всего около 2-х недель. Возможно, что в Chrome добавление произошло и раньше, но я только вчера утром обновил Firefox на своем компьютере и чуть позже, в ходе внесения изменений в файл .htaccess, можно сказать случайно, запустил проверку на сайте ssllabs. Итогом стало то, что я заметил загоревшийся зеленым цветом Chrome в пункте HSTS Preloading. Порадовался этому факту и немного огорчился, что только один браузер включил меня в этот список. Психологически приготовился ждать еще какое-то время пока остальные тоже обновят его, но этот процесс особо не затянулся. Буквально через несколько часов я наблюдал картину, где все браузеры, кроме Tor, светились зеленым. Ну Tor меня особо никогда не интересовал — ну не верю я в его «неотслеживаемость» и прочие фишки, поэтому было некритично. Сегодня утром картина немного изменилась — информация по Tor стала недоступной. На текущий момент ситуация выглядит следующим образом:<\/p>\n Также наконец-то создал более-менее правильную политику Content Security Policy (CSP), которая позволила моему блогу нормально функционировать. Ранее проблема в ее включении заключалась в том, что картинки из сообщений просто исчезали, при этом я не получал никаких сообщений в Firebug. Также иногда сбивалась тема и переставали работать скрипты. Но, вроде как, разобрался и сейчас все функционирует нормально. Прогнал тестами через один из сервисов и был приятно удивлен, когда он выставил мне высшую оценку по безопасности, найдя все те технологии, которые я внедрил на свой сервер. Кстати, интерфейс у этого сервиса сильно напоминает ssllabs. Про него расскажу чуть позже.<\/p>\n",
"date_published": "2016-08-28T12:28:25+07:00",
"date_modified": "2016-09-03T14:05:03+07:00",
"tags": [
"chrome",
"Content Security Policy",
"CSP",
"edge",
"firebug",
"firefox",
"hsts",
"HTTP Strict Transport Security",
"ie",
"preload",
"ssllabs",
"tor",
"список"
],
"image": "https:\/\/kini24.ru\/pictures\/hsts-preload.png",
"_date_published_rfc2822": "Sun, 28 Aug 2016 12:28:25 +0700",
"_rss_guid_is_permalink": "false",
"_rss_guid": "6",
"_e2_data": {
"is_favourite": false,
"links_required": [],
"og_images": [
"https:\/\/kini24.ru\/pictures\/hsts-preload.png"
]
}
},
{
"id": "4",
"url": "https:\/\/kini24.ru\/all\/vnedrenie-http-strict-transport-security-hsts-na-svoy-sayt\/",
"title": "Внедрение HTTP Strict Transport Security (HSTS) на свой сайт",
"content_html": " Сначала небольшая выдержка из википедии<\/a>:<\/p>\n «HSTS (сокр. от англ. HTTP Strict Transport Security) — механизм, активирующий форсированное защищённое соединение через протокол HTTPS. Данная политика безопасности позволяет сразу же устанавливать безопасное соединение, вместо использования HTTP-протокола. Механизм использует особый заголовок Strict-Transport-Security для принудительного использования браузером протокола HTTPS даже в случае перехода по ссылкам с явным указанием протокола HTTP. Механизм специфицирован в RFC6797 в ноябре 2012 года.<\/i><\/p>\n HSTS помогает предотвратить часть атак, направленных на перехват соединения между пользователем и веб-сайтом, в частности атаку с понижением степени защиты и воровство кук.<\/i><\/p>\n Дополнительную защиту https-соединений предоставляют методы Certificate pinning (хранение списка разрешенных для домена сертификатов или CA в исходных текстах браузера) и HTTP Public Key Pinning (англ.). Они предотвращают множество возможностей подмены tls-сертификатов https-сервера.»<\/i><\/p>\n<\/blockquote>\n Для внедрения этой технологии нам понадобится несколько вещей:<\/p>\n Если что-то из этого по каким-то причинам вам не подходит, то эта технология вам не нужна.<\/p>\n Так как у меня используется «старенький» Apache версии 2.2, то и настраивать, соответственно, мы будет его.\nДля включения HSTS нам нужно добавить в файл \/etc\/httpd2\/conf\/sites-available\/default_https.conf<\/i> следующие строки:<\/p>\n Первые и последние две строки — стандартные для данного файла, если они имеются, то добавлять их не нужно. Нас больше всего интересует третья строчка.<\/p>\n Инструкция Header set позволяет вставить заголовок в ответ сервера. В данном случае заголовок «Strict-Transport-Security». В скобках за ним расположены параметры этого заголовка:<\/p>\n Итак, данные мы добавили, теперь нужно перезагрузить файлы конфигурации:<\/p>\n Наличие заголовка в ответе сервера можно проверить, например, на этом сайте<\/a>. Среди прочих вы должны увидеть такую строчку:<\/p>\n Идем на сайт ssllabs<\/a>, вводим адрес своего сайта с указанием https и тестируем, что у нас получилось. Тест занимает некоторое время, его вполне хватит на то, чтобы, например, налить себе чашечку кофе.<\/p>\n По итогу мы должны увидеть такие строчки:<\/p>\n Если вы их видите, значит все в порядке. В противном случае ищите ошибку.<\/p>\n И, наконец, про параметр preload<\/i>. Существует так называемый «preload list», в котором перечислены все домены, использующие технологию HSTS. Своего рода список «избранных» :-) При желании вы можете подать заявку<\/a> на включение вашего домена в этот список, но на скорый ответ не рассчитывайте. Список обновляется с выпуском каждой версии браузера Chrome, поэтому может пройти несколько месяцев, прежде, чем вы увидите, что ваш домен добавлен в него. Для подачи заявки нужно выполнить несколько требований, указанных на главной странице сайта, поэтому рекомендую прочитать ее внимательно. Значение имеет даже регистр параметров заголовка. В случае критической ошибки после нажатия на кнопку «Check status and eligibility» фон страницы станет красным, в случае некритической — желтым, если же все верно — зеленым. На этой же странице указано, что нужно делать, чтобы удалить свой домен из этого списка.<\/p>\n В принципе, это все, что вам нужно знать об этой технологии защиты вашего сайта. Надеюсь, что этот текст вам помог.<\/p>\n",
"date_published": "2016-08-16T11:56:05+07:00",
"date_modified": "2016-10-01T13:20:19+07:00",
"tags": [
"apache",
"Header",
"hsts",
"HTTP Strict Transport Security",
"HTTPS",
"includeSubDomains",
"preload",
"set",
"Strict-Transport-Security",
"внедрение",
"домен",
"защита",
"использование",
"настройка",
"сайт",
"установка"
],
"image": "https:\/\/kini24.ru\/pictures\/hsts-01.jpg",
"_date_published_rfc2822": "Tue, 16 Aug 2016 11:56:05 +0700",
"_rss_guid_is_permalink": "false",
"_rss_guid": "4",
"_e2_data": {
"is_favourite": false,
"links_required": [
"highlight\/highlight.js",
"highlight\/highlight.css"
],
"og_images": [
"https:\/\/kini24.ru\/pictures\/hsts-01.jpg",
"https:\/\/kini24.ru\/pictures\/hsts-02.jpg"
]
}
}
],
"_e2_version": 4134,
"_e2_ua_string": "Aegea 11.3 (v4134)"
}![\"\"](\"https:\/\/kini24.ru\/pictures\/hsts-preload.png\")
\n<\/div>\n\n
\n
<IfModule ssl_module>\n <VirtualHost *:443>\n Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"\n <\/VirtualHost>\n<\/IfModule><\/code><\/pre>\n
\n
\n
# service httpd2 condreload<\/code><\/pre>Strict-Transport-Security: max-age=31536000; includeSubDomains; preload<\/code><\/pre>![\"Эту](\"https:\/\/kini24.ru\/pictures\/hsts-01.jpg\")
\n![\"Эта](\"https:\/\/kini24.ru\/pictures\/hsts-02.jpg\")
\n