7 ХТМЛ безбедносних најбољих пракси за рањивости статичких веб локација

Статичке веб локације чувају већ приказан садржај, због чега не морају да приступају ниједној бази података, да покрећу сложене скрипте или зависе од покретачког механизма кад год корисник затражи страницу.

То значи јасне предности у времену учитавања и безбедности: статичне странице штеде много времена сервера и имају мање рањивости. То заузврат значи да ће претраживачи боље рангирати статичне странице од њихових динамичких еквивалената.

СЕО стручњаци се окрећу статичном садржају кад год могу, како би се боље такмичили у свету у коме делић секунде може да направи разлику између потпуног успеха и потпуног неуспеха. Примена статичког садржаја постала је популарна реч између маркетиншких стратега, а ИТ особље воли да има мање рањиво место на које треба да припази.

Али пазите – нису 100% отпорни на хаковање, тако да ако планирате да поставите статички садржај на своју веб локацију, постоје неке најбоље праксе које треба да следите да бисте га заштитили.

Преглед садржаја

Безбедносна заглавља су подскуп ХТТП заглавља одговора — пакет метаподатака, кодова грешака, правила кеш меморије, итд. које веб сервер додаје садржају који опслужује — дизајнирано да каже прегледачу шта да ради и како да рукује садржајем који прима. Не подржавају сви претраживачи сва безбедносна заглавља, али постоји мали скуп који је прилично уобичајен и пружа основне безбедносне мере за спречавање хакера да искористе рањивости.

Кс-Фраме-Опције: САМЕОРИГИН

Заглавље Кс-Фраме-Оптионс има за циљ да онемогући или ублажи ризике које намећу ифрамеови на вашој веб локацији. Ифраме-ове могу да користе хакери да заузму легитимне кликове и усмере посетиоце на било коју УРЛ адресу коју желе. Постоје различити начини да се спречи злоупотреба ифраме-ова.

Најбоља пракса коју препоручује ОВАСП (Опен Веб Апплицатион Сецурити Пројецт) предлаже коришћење овог заглавља са параметром САМЕОРИГИН, који дозвољава коришћење ифраме-ова само некоме са истог порекла. Друге опције су ЗАБРАНИ, да потпуно онемогућите ифрамеове и ДОЗВОЛИ-ОД, да дозволите само одређеним УРЛ-овима да стављају странице на ифраме.

Погледајте водич за имплементацију за Апацхе и Нгинк.

Кс-КССС-Протецтион: 1; мод=блок

Заглавље Кс-КССС-Протецтион је дизајнирано да заштити веб локације од скриптовања на више локација. Ова функција заглавља се може применити на два начина:

  • Кс-КССС-заштита: 1
  • Кс-КССС-Протецтион: 1; мод=блок

Први је дозвољенији, филтрира скрипте из захтева ка веб серверу, али свеједно приказује страницу. Други начин је сигурнији јер блокира целу страницу када се у захтеву открије Кс-КССС скрипт. Ова друга опција је најбоља пракса коју препоручује ОВАСП.

Кс-Цонтент-Типе-Оптионс: носнифф

Ово заглавље спречава коришћење МИМЕ „шмркања“ — функције која омогућава прегледачу да скенира садржај и реагује другачије од онога што заглавље даје. Када је ово заглавље присутно, претраживач мора да подеси тип садржаја према упутствима, уместо да га закључи тако што ће унапред „њушити“ садржај.

Ако примените ово заглавље, требало би још једном да проверите да ли су ваши типови садржаја правилно примењени на свакој страници вашег статичног веб-сајта.

Цонтент-Типе: тект/хтмл; цхарсет=утф-8

Ова линија се додаје у заглавља захтева и одговора за ХТМЛ странице од верзије 1.0 ХТТП протокола. Он утврђује да се све ознаке приказују у претраживачу, приказујући резултат на веб страници.

Користите ТЛС сертификате

ССЛ/ТЛС сертификат је обавезан за било коју веб локацију јер омогућава веб серверу да шифрује податке које шаље веб претраживачу преко безбедног ХТТПС протокола. На тај начин, ако се подаци пресретну током путовања, биће нечитљиви, што је од суштинског значаја за заштиту приватности корисника и обезбеђивање веб странице. Статичка веб локација не чува личне податке својих посетилаца, али је неопходно да нежељени посматрачи не могу да виде информације које траже.

Употреба енкрипције од стране веб локације је неопходна да би већина веб прегледача означила као безбедну веб локацију и обавезна је за веб локације које желе да буду у складу са Општом уредбом о заштити података ЕУ (ГДПР). Закон не наводи изричито да треба користити ССЛ сертификат, али је то најједноставнији начин да се испуне захтеви за приватност из уредбе.

Што се тиче безбедности, ССЛ сертификат омогућава властима да провере власништво над веб-сајтом и да спрече хакере да креирају лажне верзије исте. Коришћење ССЛ сертификата омогућава посетиоцу веб локације да провери аутентичност издавача и да се увери да нико не може да шпијунира његове или њене активности на веб локацији.

Добра вест је да сертификат не кошта много. У ствари, можете га добити БЕСПЛАТНО од ЗероССЛ или купите премиум од ССЛ Сторе.

Поставите ДДоС заштиту

Напади дистрибуираног ускраћивања услуге (ДДоС) данас постају све чешћи. У овој врсти напада, скуп дистрибуираних уређаја се користи да преплави сервер поплавом захтева, све док се не засити и једноставно одбије да ради. Није важно да ли ваша веб локација има статички садржај — њен веб сервер би лако могао да постане жртва ДДоС напада ако не предузмете неопходне мере.

Најлакши начин да примените ДДоС заштиту на вашој веб локацији је да се провајдер безбедносних услуга побрине за све сајбер претње. Ова услуга ће обезбедити откривање упада, антивирусне услуге, скенирање рањивости и још много тога, тако да практично не морате да бринете о било каквим претњама.

Овако свеобухватно решење могло би да буде скупо, али постоје и фокусиранија решења са нижим трошковима, као што је ДДоС заштита као услуга (ДПааС). Требало би да питате свог хостинг провајдера да ли нуди такву услугу.

Приступачнија решења су услуге заштите од ДДоС-а засноване на облаку, попут оних које нуди Акамаи, Суцури, или Цлоудфларе. Ове услуге обезбеђују рано откривање и анализу ДДоС напада, као и филтрирање и преусмеравање тих напада – односно преусмеравање злонамерног саобраћаја са ваше веб локације.

Када размишљате о анти-ДДоС решењу, обратите пажњу на његов мрежни капацитет: овај параметар показује колики интензитет напада заштита може да издржи.

Избегавајте рањиве ЈаваСцрипт библиотеке

Чак и ако ваша веб локација има статички садржај, могла би да користи ЈаваСцрипт библиотеке које представљају безбедносне ризике. Генерално се сматра да 20% тих библиотека чини веб локацију рањивијом. На срећу, можете користити услугу коју пружа Рањивост ДБ да провери да ли је одређена библиотека безбедна или не. У његовој бази података можете пронаћи детаљне информације и упутства за многе познате рањивости.

Поред провере рањивости у одређеној библиотеци, можете да пратите ову листу најбољих пракси за ЈаваСцрипт библиотеке које ће обезбедити отклањање потенцијалних ризика:

  • Не користите екстерне сервере библиотеке. Уместо тога, чувајте библиотеке на истом серверу на коме се налази ваша веб локација. Ако морате да користите спољне библиотеке, избегавајте коришћење библиотека са сервера са црне листе и повремено проверавајте безбедност спољних сервера.
  • Користите управљање верзијама за ЈаваСцрипт библиотеке и уверите се да користите најновију верзију сваке библиотеке. Ако управљање верзијама није опција, барем би требало да користите верзије које немају познате рањивости. Можете користити ретире.јс да открије употребу рањивих верзија.
  • Редовно проверавајте да ли ваша веб локација користи спољне библиотеке за које не знате. На овај начин ћете знати да ли је хакер убацио везе до нежељених добављача библиотека. Напади убризгавањем су мало вероватни на статичним веб локацијама, али неће штетити да се ово проверава с времена на време.

Примените стратегију прављења резервних копија

Статична веб локација увек треба да има безбедну резервну копију свог садржаја кад год се промени. Резервне копије морају бити безбедно ускладиштене и лако доступне у случају да је потребно да вратите своју веб локацију у случају пада. Постоји много начина да направите резервну копију ваше статичне веб локације, али генерално, они се могу категорисати на ручне и аутоматске.

Ако се садржај ваше веб локације не мења често, ручна стратегија прављења резервних копија може бити адекватна — само треба да запамтите да направите нову резервну копију сваки пут када промените садржај. Ако имате контролну таблу за управљање вашим хостинг налогом, врло је вероватно да ћете у оквиру те контролне табле пронаћи опцију за прављење резервних копија. Ако не, увек можете да користите ФТП клијент да преузмете сав садржај веб локације на локални уређај где га можете чувати и вратити ако је потребно.

Наравно, опција аутоматског прављења резервних копија је пожељнија ако желите да задатке управљања веб-сајтом сведете на минимум. Али аутоматске резервне копије обично нуде као премиум функције од стране провајдера хостинга, што доприноси укупним трошковима заштите ваше веб локације.

Можете размислити о коришћењу складишта објеката у облаку за резервну копију.

Користите поузданог провајдера хостинга

Поуздан веб хостинг сервис је неопходан да гарантује да ће ваша веб локација функционисати глатко и брзо, али и да будете сигурни да неће бити хакована. Већина прегледа веб хостинга ће вам показати бројке и поређења о брзини, времену непрекидног рада и корисничкој подршци, али када се разматра безбедност веб локације, постоје неки аспекти које треба пажљиво посматрати и о којима би требало да питате свог провајдера пре него што ангажујете његову услугу:

  • Безбедност софтвера: требало би да сазнате како се поступа са ажурирањима софтвера; на пример, ако се сав софтвер аутоматски ажурира или ако је свако ажурирање подвргнуто процесу тестирања пре него што се примени.
  • ДДоС заштита: у случају да је ова врста заштите укључена у услугу хостинга, затражите детаље о томе како се имплементира, да бисте проверили да ли испуњава захтеве ваше веб странице.
  • Доступност и подршка ССЛ-а: пошто у већини случајева сертификатима управља хостинг провајдер, требало би да проверите какву врсту сертификата нуди и каква је политика обнављања сертификата.
  • Прављење резервних копија и враћање: многи провајдери хостинга нуде аутоматизовану услугу прављења резервних копија, што је добра ствар јер вам практично омогућава да заборавите на прављење резервних копија, њихово складиштење и ажурирање. Али узмите у обзир цену такве услуге и одмерите је у односу на труд који ће вам бити потребан да сами задржите резервну копију вашег садржаја.
  • Заштита од злонамерног софтвера: поуздани хостинг провајдер треба да има своје сервере заштићене од злонамерног софтвера, обављањем периодичних скенирања малвера и надгледањем интегритета датотека. У случају дељеног хостинга, пожељно је да хостинг провајдер користи изолацију налога, како би спречио ширење заразе малвером између суседних веб локација.
  • Заштита заштитног зида: провајдер хостинга може повећати ниво безбедности веб локација које хостује постављањем заштитног зида који спречава непријатељски саобраћај.

Погледајте поуздану статичну платформу за хостовање сајтова.

Спроведите политику јаке лозинке

Пошто статична локација нема базу података или систем управљаног садржаја, има мање корисничких имена и лозинки за управљање. Али и даље морате да примените политику лозинке за хостинг или ФТП налоге које ћете користити за ажурирање статичког садржаја.

Добре праксе за лозинке укључују, између осталог:

  • Периодично их мењајући
  • Постављање минималне дужине лозинке.
  • Коришћење комбинација великих/малих слова заједно са специјалним знаковима и бројевима
  • Избегавајте да их комуницирате путем е-поште или текстуалних порука.

Такође, подразумевана лозинка за административне налоге мора да се промени од самог почетка — ово је уобичајена грешка коју хакери лако могу да искористе. Немојте се плашити губитка лозинке; користите менаџер лозинки да бисте безбедно управљали њима.

Хајде да будемо статични

Пре неколико година, динамички садржај је био прави пут: све се могло лако променити и ажурирати, омогућавајући редизајн целог веб сајта у року од неколико секунди. Али тада је брзина постала главни приоритет, а статични садржај је одједном поново постао кул.

У том смислу, све безбедносне праксе веб-сајта треба поново да се процене – сигурно има мање аспеката које треба узети у обзир, али не треба да се опуштате око тога. Ова листа најбољих пракси ће вам сигурно помоћи да направите сопствену контролну листу како бисте очували своју статичну веб локацију безбедном и здравом.

  Како проверити кеш меморију Стеам игре