https://kini24.ru/tags/set-cookie/ Блог ленивого сисадмина ru Aegea 11.3 (v4134) Блог ленивого сисадмина 8 https://kini24.ru/all/povyshenie-bezopasnosti-servera-pri-pomoschi-zagolovkov/ Wed, 31 Aug 2016 11:39:41 +0700 https://kini24.ru/all/povyshenie-bezopasnosti-servera-pri-pomoschi-zagolovkov/ <p>Для увеличения степени безопасности сервера понадобится добавить или удалить несколько заголовков, которые он отдает при запросе страниц. Я не буду подробно расписывать какой из них за что отвечает, ограничусь лишь кратким описанием.</p> <ol start="1"> <li><a href="https://kini24.ru/all/vnedrenie-http-strict-transport-security-hsts-na-svoy-sayt/">HTTP Strict Transport Security (HSTS) </a>— позволяет форсировать HTTPS подключение.</li> <li><a href="https://kini24.ru/all/zaschita-sayta-pri-pomoschi-http-public-key-pinning-hpkp/">HTTP Public Key Pinning (HPKP) </a> — позволяет создать своеобразную «электронную подпись» для вашего сайта.</li> <li>X-Download-Options со значением «noopen» позволяет запретить открытие любых файлов с вашего сайта (например, документов в формате PDF), становится возможно только скачать их.</li> <li>X-Content-Type-Options со значением «nosniff» инструктирует Internet Explorer версии 8 не определять автоматически content-type, а использовать уже полученный.</li> <li>Еще один заголовок X-XSS-Protection со значением «1; mode=block» активирует встроенную защиту от XSS (Cross-Site Scripting, «межсайтовый скриптинг»).</li> <li>X-Frame-Options со значением «SAMEORIGIN» запрещает открывать страницы вашего сайта во фрейме на чужом сайте.</li> <li>Заголовок Set-Cookie должен указываться с параметрами HttpOnly и Secure. Это предотвратит XSS-атаки и защитит cookie от кражи при помощи скрипта javascript.</li> <li>В заголовке Server также должна быть указана минимальная информация о сервере. Например, просто Apache. Это не даст злоумышленнику получить дополнительную информацию о программном обеспечении, установленном на вашем сервере.</li> <li>По аналогичным причинам рекомендуется убрать заголовок X-Powered-By, если таковой присутствует.</li> </ol> <p>И, как обычно, есть ресурсы, с помощью которых можно проверить насколько корректно вы указали эти заголовки. Первый из них — <a href="https://securityheaders.io">securityheaders.io</a>, работает очень быстро, корректно указанные по его мнению заголовки выделяются зеленым цветом. Некоторые он не выделяет, но, думаю, что на них он просто не обращает внимание.</p> <p>Второй ресурс — <a href="https://redbot.org">Redbot</a>. В левой части страницы он показывает заголовки, которые он смог получить. В правой вкратце описывается действие заголовка, также значками выделяется корректность их указания. Стадия их получения почему-то немного затянута, на мой взгляд — около 1 минуты, будем надеяться, что это будет исправлено. Также есть возможность включить в запрос дополнительные параметры.</p> <p>Если вы думаете, что я что-то пропустил, то пишите в комментариях.</p>