{ "version": "https:\/\/jsonfeed.org\/version\/1.1", "title": "Копытов Иван: заметки с тегом HTTPS", "_rss_description": "Блог ленивого сисадмина", "_rss_language": "ru", "_itunes_email": "", "_itunes_categories_xml": "", "_itunes_image": "", "_itunes_explicit": "", "home_page_url": "https:\/\/kini24.ru\/tags\/https\/", "feed_url": "https:\/\/kini24.ru\/tags\/https\/json\/", "icon": false, "authors": [ { "name": "Копытов Иван", "url": "https:\/\/kini24.ru\/", "avatar": false } ], "items": [ { "id": "86", "url": "https:\/\/kini24.ru\/all\/zerkalo-nod32\/", "title": "Зеркало NOD32", "content_html": "

Старею, наверное, старею. Полдня бился, не мог понять почему при верной конфигурации зеркала, оно не запрашивает пароль на доступ к обновлениям. Плюнул на все, пошел читать Пикабу. Когда он закончился, ушел покурить и тут меня осенило. Такое зачастую бывает, давно уже понял. Если не можешь справиться с какой-то задачей, нужно «забыть» про нее на время, абстрагироваться. Решение придет чуть позже само. Так и в этот раз получилось.
\nЯ же любитель скрывать информацию от посторонних. Это была одна из причин почему я перешел на использование протокола HTTPS. Так как NOD32 не умеет (по крайней мере, 4 и 5 версии) работать через него, то оставил «лазейку» в конфигурации субдомена для него. Страница при этом открывается по HTTPS, а сам антивирус может обновляться через HTTP. Так вот... По привычке все изменения вносил в раздел, предназначенный для страницы, то есть HTTPS, тогда как нужно было это делать в разделе для антивируса. Вернулся в кабинет, скопировал нужные строки в нужный раздел файла конфигурации — и все заработало так, как и задумывалось. Дома еще слегка поправил, чтобы все компьютеры на работе и дома могли обновляться с моего сервера без использования пары логин\/пароль. И на этом пока остановился.
\nПримерно в начале недели, кстати, закончилась лицензия на DrWeb, который устанавливал предыдущий администратор. Что я могу сказать за почти год его использования. Достаточно неудобная вещь это, оказывается. Нет, в тех вопросах, когда нужно установить антивирус на несколько машин, удалить его, запустить проверку и так далее — это безусловно удобно. Открыл страницу администрирования, задал нужное действие и никуда не нужно бегать. Но когда тебе нужно на время отключить антивирус или внести какой-то файл в исключения — тут полный облом. Можно, конечно, покопаться в настройках центра управления и внести исключения для каждой (!!!) станции, но, на мой взгляд это перебор. Нужен более простой вариант. По настройкам центра управления я проходился не один раз и они не показались мне логичными в плане группировки, почти каждый раз приходилось искать где же был нужный параметр. И несколько параноидальный режим работы агентов на компьютерах, которые не отличаются новизной «железа», меня достаточно сильно тяготил. Поэтому я просто ждал, когда же закончится действие лицензии.
\nЧерт с ним, с DrWeb! Пусть он мне одно время и нравился за то, что «кушает» мало ресурсов и обновления у него «весят» мало. Тогда интернет был дорогой (правда в той местности он и до сих пор дорогой) и «деревья были большими». Но, видимо, те времена безвозвратно ушли. Остановимся пока что на NOD32. Итак, установить версию 4 или 5, чтобы иметь возможность задать адрес зеркала обновлений сразу после установки — это не проблема. Проблемы начинаются когда нужно установить версию 6 или выше. Нет, можно, конечно, установить антивирус нужной версии, отключить HIPS, перезагрузиться в безопасный режим, изменить нужный параметр реестра, снова перезагрузиться в нормальный режим, задать адрес зеркала... Слишком много манипуляций, на мой взгляд. Мой преподаватель информатики Раиса Петровна всегда говорила «Программист ДОЛЖЕН быть ленивым!» Видимо, я слишком буквально это понял и запомнил :-) Суть решения состоит в том, что вы запускаете некую программу перед установкой антивируса. Она мониторит нужный параметр и, при его создании или изменении (если антивирус был установлен ранее), меняет значение на нужное. В таком случае мы получаем возможность задать адрес зеркала обновлений без перезагрузок, отключений HIPS и так далее. Вручную все это мной уже обкатывалось на 8 версии антивируса. Я просто открывал редактор реестра, запускал установку антивируса и в нужный момент менял значение параметра. Момент определился методом проб и ошибок — установка драйверов. После завершения установки можно было задавать зеркало самому, без перезагрузки компьютера. Если честно, то я не совсем понимаю почему никто еще не создал подобное решение — оно же лежит на поверхности. Хотя, возможно, я просто плохо искал :-)
\nВ общем, осталось только написать соответствующую программу и запустить ее в тестирование, благо есть куда. И исправлять ошибки по мере их нахождения.<\/p>\n", "date_published": "2017-09-07T18:38:37+07:00", "date_modified": "2017-09-07T18:41:03+07:00", "tags": [ "drweb", "eset", "hips", "HTTP", "HTTPS", "nod32", "лицензия", "переход", "установка" ], "_date_published_rfc2822": "Thu, 07 Sep 2017 18:38:37 +0700", "_rss_guid_is_permalink": "false", "_rss_guid": "86", "_e2_data": { "is_favourite": false, "links_required": [], "og_images": [] } }, { "id": "8", "url": "https:\/\/kini24.ru\/all\/povyshenie-bezopasnosti-servera-pri-pomoschi-zagolovkov\/", "title": "Повышение безопасности сервера при помощи заголовков", "content_html": "

Для увеличения степени безопасности сервера понадобится добавить или удалить несколько заголовков, которые он отдает при запросе страниц. Я не буду подробно расписывать какой из них за что отвечает, ограничусь лишь кратким описанием.<\/p>\n

    \n
  1. HTTP Strict Transport Security (HSTS) <\/a>— позволяет форсировать HTTPS подключение.<\/li>\n
  2. HTTP Public Key Pinning (HPKP) <\/a> — позволяет создать своеобразную «электронную подпись» для вашего сайта.<\/li>\n
  3. X-Download-Options со значением «noopen» позволяет запретить открытие любых файлов с вашего сайта (например, документов в формате PDF), становится возможно только скачать их.<\/li>\n
  4. X-Content-Type-Options со значением «nosniff» инструктирует Internet Explorer версии 8 не определять автоматически content-type, а использовать уже полученный.<\/li>\n
  5. Еще один заголовок X-XSS-Protection со значением «1; mode=block» активирует встроенную защиту от XSS (Cross-Site Scripting, «межсайтовый скриптинг»).<\/li>\n
  6. X-Frame-Options со значением «SAMEORIGIN» запрещает открывать страницы вашего сайта во фрейме на чужом сайте.<\/li>\n
  7. Заголовок Set-Cookie должен указываться с параметрами HttpOnly и Secure. Это предотвратит XSS-атаки и защитит cookie от кражи при помощи скрипта javascript.<\/li>\n
  8. В заголовке Server также должна быть указана минимальная информация о сервере. Например, просто Apache. Это не даст злоумышленнику получить дополнительную информацию о программном обеспечении, установленном на вашем сервере.<\/li>\n
  9. По аналогичным причинам рекомендуется убрать заголовок X-Powered-By, если таковой присутствует.<\/li>\n<\/ol>\n

    И, как обычно, есть ресурсы, с помощью которых можно проверить насколько корректно вы указали эти заголовки. Первый из них — securityheaders.io<\/a>, работает очень быстро, корректно указанные по его мнению заголовки выделяются зеленым цветом. Некоторые он не выделяет, но, думаю, что на них он просто не обращает внимание.<\/p>\n

    Второй ресурс — Redbot<\/a>. В левой части страницы он показывает заголовки, которые он смог получить. В правой вкратце описывается действие заголовка, также значками выделяется корректность их указания. Стадия их получения почему-то немного затянута, на мой взгляд — около 1 минуты, будем надеяться, что это будет исправлено. Также есть возможность включить в запрос дополнительные параметры.<\/p>\n

    Если вы думаете, что я что-то пропустил, то пишите в комментариях.<\/p>\n", "date_published": "2016-08-31T11:39:41+07:00", "date_modified": "2016-09-03T14:05:51+07:00", "tags": [ "hsts", "HTTP Public Key Pinning", "HTTP Strict Transport Security", "HttpOnly", "HTTPS", "noopen", "nosniff", "SAMEORIGIN", "Secure", "security", "Server", "Set-Cookie", "X-Content-Type-Options", "X-Download-Options", "X-Frame-Options", "X-Powered-By", "X-XSS-Protection", "XSS", "безопасность", "сервер" ], "_date_published_rfc2822": "Wed, 31 Aug 2016 11:39:41 +0700", "_rss_guid_is_permalink": "false", "_rss_guid": "8", "_e2_data": { "is_favourite": false, "links_required": [], "og_images": [] } }, { "id": "4", "url": "https:\/\/kini24.ru\/all\/vnedrenie-http-strict-transport-security-hsts-na-svoy-sayt\/", "title": "Внедрение HTTP Strict Transport Security (HSTS) на свой сайт", "content_html": "

    Сначала небольшая выдержка из википедии<\/a>:<\/p>\n

    \n

    «HSTS (сокр. от англ. HTTP Strict Transport Security) — механизм, активирующий форсированное защищённое соединение через протокол HTTPS. Данная политика безопасности позволяет сразу же устанавливать безопасное соединение, вместо использования HTTP-протокола. Механизм использует особый заголовок Strict-Transport-Security для принудительного использования браузером протокола HTTPS даже в случае перехода по ссылкам с явным указанием протокола HTTP. Механизм специфицирован в RFC6797 в ноябре 2012 года.<\/i><\/p>\n

    HSTS помогает предотвратить часть атак, направленных на перехват соединения между пользователем и веб-сайтом, в частности атаку с понижением степени защиты и воровство кук.<\/i><\/p>\n

    Дополнительную защиту https-соединений предоставляют методы Certificate pinning (хранение списка разрешенных для домена сертификатов или CA в исходных текстах браузера) и HTTP Public Key Pinning (англ.). Они предотвращают множество возможностей подмены tls-сертификатов https-сервера.»<\/i><\/p>\n<\/blockquote>\n

    Для внедрения этой технологии нам понадобится несколько вещей:<\/p>\n

      \n
    1. Наличие валидного сертификата (можно бесплатно получить на сайте Let’s Encrypt<\/a>)<\/li>\n
    2. Уверенность в том, что будет использоваться только https протокол, включая все ваши субдомены.<\/li>\n
    3. Полное перенаправление с http-версий сайтов на https.<\/li>\n<\/ol>\n

      Если что-то из этого по каким-то причинам вам не подходит, то эта технология вам не нужна.<\/p>\n

      Так как у меня используется «старенький» Apache версии 2.2, то и настраивать, соответственно, мы будет его.\nДля включения HSTS нам нужно добавить в файл \/etc\/httpd2\/conf\/sites-available\/default_https.conf<\/i> следующие строки:<\/p>\n

      <IfModule ssl_module>\n    <VirtualHost *:443>\n        Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"\n   <\/VirtualHost>\n<\/IfModule><\/code><\/pre>
      Первые и последние две строки — стандартные для данного файла, если они имеются, то добавлять их не нужно. Нас больше всего интересует третья строчка.<\/p>\n
      Инструкция Header set позволяет вставить заголовок в ответ сервера. В данном случае заголовок «Strict-Transport-Security». В скобках за ним расположены параметры этого заголовка:<\/p>\n