7 HTML-biztonsági bevált gyakorlat a statikus webhelyek biztonsági réseihez

A statikus webhelyek már megjelenített tartalmat tárolnak, ezért nem kell hozzáférniük semmilyen adatbázishoz, nem kell bonyolult szkripteket futtatniuk, és nincs szükségük egy futásidejű motorra, amikor a felhasználó oldalt kér.

Ez egyértelmű előnyöket jelent a betöltési idők és a biztonság terén: a statikus oldalak sok szerveridőt takarítanak meg, és kevesebb sebezhetőséget tartalmaznak. Ez viszont azt jelenti, hogy a keresőmotorok jobban rangsorolják a statikus oldalakat, mint dinamikus megfelelőiket.

A SEO szakértők amikor csak tehetik, a statikus tartalom felé fordulnak, hogy jobban versenyezzenek egy olyan világban, amelyben a másodperc töredéke különbséget tehet a teljes siker és a teljes kudarc között. A statikus tartalom bevezetése divatos szóvá vált a marketingstratégiák között, és az informatikusok szeretik, hogy van egy kevésbé sebezhető hely, ahol szemmel kell tartaniuk.

De vigyázat – nem 100%-ban feltörésbiztosak, ezért ha statikus tartalmat szeretne telepíteni a webhelyére, van néhány bevált módszer, amelyet követnie kell a biztonság megőrzése érdekében.

Tartalomjegyzék

A biztonsági fejlécek a HTTP-válaszfejlécek egy részhalmaza – metaadatok, hibakódok, gyorsítótár-szabályok stb. csomagja, amelyet a webszerver hozzáad a kiszolgált tartalomhoz –, amelyek célja, hogy megmondják a böngészőnek, mit tegyen, és hogyan kezelje a kapott tartalmat. Nem minden böngésző támogatja az összes biztonsági fejlécet, de van egy kis készlet, amely meglehetősen gyakori, és alapvető biztonsági intézkedéseket tartalmaz, amelyek megakadályozzák, hogy a hackerek kihasználják a sebezhetőségeket.

X-Frame-Options: SAMEORIGIN

Az X-Frame-Options fejléc célja, hogy letiltja vagy csökkentse a webhelyén lévő iframe-ek által jelentett kockázatokat. Az iframe-eket a hackerek arra használhatják, hogy lefoglalják a jogos kattintásokat, és tetszőleges URL-re irányítsák a látogatókat. Az iframe-ekkel való visszaélés megakadályozásának különböző módjai vannak.

Az OWASP (Open Web Application Security Project) által javasolt bevált gyakorlat ennek a fejlécnek a SAMEORIGIN paraméterrel történő használatát javasolja, amely lehetővé teszi az iframe-ek használatát csak az azonos eredetről származó személyek számára. További opciók a DENY (megtagadás) az iframe-ek teljes letiltásához, illetve az ALLOW-FROM (ALOW-FROM), amellyel csak bizonyos URL-ek engedélyezik az oldalak iframe-ekbe helyezését.

Tekintse meg az Apache és az Nginx megvalósítási útmutatóját.

X-XSS-védelem: 1; mód=blokk

Az X-XSS-Protection fejléc célja, hogy megvédje a webhelyeket a webhelyek közötti szkriptektől. Ez a fejléc funkció kétféleképpen valósítható meg:

  • X-XSS-védelem: 1
  • X-XSS-védelem: 1; mód=blokk

Az első megengedőbb, kiszűri a szkripteket a kéréstől a webszerverig, de az oldalt egyébként is rendereli. A második mód biztonságosabb, mivel blokkolja az egész oldalt, ha a kérésben X-XSS szkriptet észlel. Ez a második lehetőség az OWASP által javasolt bevált gyakorlat.

X-Content-Type-Options: nosniff

Ez a fejléc megakadályozza a MIME „szippantás” használatát – ez a funkció lehetővé teszi a böngésző számára, hogy átvizsgálja a tartalmat, és a fejléc utasításaitól eltérően reagáljon. Ha ez a fejléc jelen van, a böngészőnek be kell állítania a tartalomtípust az utasításoknak megfelelően, ahelyett, hogy a tartalom előzetes „szippantása” alapján következtetne rá.

Ha alkalmazza ezt a fejlécet, akkor még egyszer ellenőrizze, hogy a tartalomtípusok megfelelően vannak-e alkalmazva statikus webhelye minden oldalán.

Tartalom típusa: szöveg/html; charset=utf-8

Ez a sor a HTTP-protokoll 1.0-s verziója óta hozzáadódik a HTML-oldalak kérés- és válaszfejlécéhez. Megállapítja, hogy az összes címke megjelenik a böngészőben, és megjeleníti az eredményt a weboldalon.

Használjon TLS-tanúsítványokat

Az SSL/TLS-tanúsítvány minden webhelyen kötelező, mert lehetővé teszi a webszerver számára, hogy titkosítsa az általa a webböngészőnek küldött adatokat a biztonságos HTTPS protokollon keresztül. Így, ha az adatokat az utazás során elfogják, akkor azok olvashatatlanok lesznek, ami elengedhetetlen a felhasználói adatvédelem és a weboldal biztonsága szempontjából. Egy statikus weboldal nem tárolja látogatói személyes adatait, de elengedhetetlen, hogy az általuk kért információkat ne lássák a nem kívánt figyelők.

A webhelyek titkosításának használata szükséges ahhoz, hogy a legtöbb webböngésző biztonságos webhelyként jelölje meg, és kötelező az EU általános adatvédelmi rendeletének (GDPR) megfelelni kívánó webhelyeknél. A törvény nem írja ki konkrétan, hogy SSL-tanúsítványt kell használni, de ez a legegyszerűbb módja a rendeletben foglalt adatvédelmi követelmények teljesítésének.

Biztonsági szempontból az SSL-tanúsítvány lehetővé teszi a hatóságok számára, hogy ellenőrizzék egy webhely tulajdonjogát, és megakadályozzák, hogy a hackerek hamis verziókat hozzanak létre. Az SSL-tanúsítvány használata lehetővé teszi a weboldal látogatójának, hogy ellenőrizze a kiadó hitelességét, és biztos lehet abban, hogy senki sem kémkedhet a weboldalon végzett tevékenységei után.

A jó hír az, hogy a tanúsítvány nem kerül sokba. Valójában INGYENESEN szerezheti be ZeroSSL vagy vásároljon prémiumot SSL Store.

DDoS védelem telepítése

Az elosztott szolgáltatásmegtagadásos (DDoS) támadások manapság egyre gyakoribbak. Az ilyen típusú támadások során elosztott eszközöket használnak arra, hogy kérelmek özönével elárasztsák a szervert, amíg az el nem telít, és egyszerűen nem hajlandó működni. Nem számít, ha webhelye statikus tartalommal rendelkezik – a webszerver könnyen DDoS támadás áldozatává válhat, ha nem teszi meg a szükséges intézkedéseket.

A legegyszerűbb módja a DDoS védelem megvalósításának webhelyén, ha egy biztonsági szolgáltató gondoskodik az összes kiberfenyegetésről. Ez a szolgáltatás behatolásészlelést, vírusellenes szolgáltatásokat, sebezhetőségi vizsgálatot és még sok mást kínál, így gyakorlatilag nem kell aggódnia semmilyen fenyegetés miatt.

Egy ilyen átfogó megoldás költséges lehet, de vannak alacsonyabb költségű, célzottabb megoldások is, mint például a DDoS Protection as a Service (DPaaS). Kérdezze meg tárhelyszolgáltatóját, hogy kínál-e ilyen szolgáltatást.

A megfizethetőbb megoldások a felhő alapú DDoS védelmi szolgáltatások, mint például az Akamai, Sucuri, vagy Cloudflare. Ezek a szolgáltatások biztosítják a DDoS-támadások korai észlelését és elemzését, valamint a támadások szűrését és átirányítását – vagyis a rosszindulatú forgalom átirányítását a webhelyről.

A DDoS elleni megoldás mérlegelésekor érdemes odafigyelni a hálózati kapacitására: ez a paraméter azt jelzi, hogy a védelem mekkora támadásintenzitást tud ellenállni.

Kerülje a sebezhető JavaScript-könyvtárakat

Még akkor is, ha webhelye statikus tartalommal rendelkezik, használhat olyan JavaScript-könyvtárakat, amelyek biztonsági kockázatokat jelentenek. Általában úgy tartják, hogy e könyvtárak 20%-a sebezhetőbbé tesz egy webhelyet. Szerencsére igénybe vehette az általa nyújtott szolgáltatást Sebezhetőség DB annak ellenőrzésére, hogy egy adott könyvtár biztonságos-e vagy sem. Adatbázisában részletes információkat és útmutatást találhat sok ismert sebezhetőséghez.

Egy adott könyvtár sebezhetőségének ellenőrzése mellett követheti a JavaScript-könyvtárak bevált gyakorlatainak listáját, amelyek orvosolják a lehetséges kockázatokat:

  • Ne használjon külső könyvtári szervereket. Ehelyett tárolja a könyvtárakat ugyanazon a kiszolgálón, amelyen webhelye található. Ha külső könyvtárakat kell használnia, kerülje a tiltólistán szereplő kiszolgálók könyvtárainak használatát, és rendszeresen ellenőrizze a külső kiszolgálók biztonságát.
  • Használja a JavaScript-könyvtárak verziókezelését, és győződjön meg arról, hogy minden egyes könyvtár legújabb verzióját használja. Ha a verziókezelés nem választható, akkor legalább olyan verziókat használjon, amelyek mentesek az ismert sebezhetőségektől. Te tudod használni nyugdíjba.js a sebezhető verziók használatának észlelésére.
  • Rendszeresen ellenőrizze, hogy webhelye nem használ-e olyan külső könyvtárakat, amelyekről nem tud. Így tudni fogja, ha egy hacker nem kívánt könyvtárszolgáltatókra mutató hivatkozásokat szúrt be. Statikus webhelyeken nem valószínű az injekciós támadás, de nem árt, ha időnként elvégzi ezt az ellenőrzést.

Végezze el a biztonsági mentési stratégiát

A statikus webhely tartalmáról mindig biztonsági másolatot kell készíteni, amikor módosítják. A biztonsági másolatokat biztonságosan kell tárolni, és könnyen hozzáférhetőnek kell lennie arra az esetre, ha összeomlás esetén vissza kell állítania webhelyét. Számos módja van a statikus webhely biztonsági mentésének, de általában manuális és automatikus kategóriába sorolhatók.

Ha webhelyének tartalma nem változik túl gyakran, megfelelő lehet egy manuális biztonsági mentési stratégia – csak ne feledje, hogy minden alkalommal új biztonsági másolatot kell készítenie, amikor módosítja a tartalmat. Ha rendelkezik egy vezérlőpulttal a tárhelyfiók kezeléséhez, akkor nagyon valószínű, hogy ezen a vezérlőpulton talál egy lehetőséget a biztonsági mentések készítésére. Ha nem, egy FTP-kliens segítségével bármikor letöltheti a webhely összes tartalmát egy helyi eszközre, ahol biztonságban tarthatja és szükség esetén visszaállíthatja.

Természetesen az automatikus biztonsági mentés lehetőség előnyösebb, ha minimálisra szeretné csökkenteni a webhelykezelési feladatait. Az automatikus biztonsági mentéseket azonban a tárhelyszolgáltatók általában prémium szolgáltatásként kínálják, ami növeli a webhely biztonságos megőrzésének teljes költségét.

Érdemes lehet felhőobjektum-tárhelyet használni a biztonsági mentéshez.

Használjon megbízható tárhelyszolgáltatót

Megbízható webtárhely-szolgáltatásra van szükség ahhoz, hogy garantáljuk webhelye zökkenőmentes és gyors működését, de azt is, hogy ne kerüljön feltörésre. A legtöbb webtárhely-értékelés számadatokat és összehasonlításokat mutat a sebességről, az üzemidőről és az ügyfélszolgálatról, de a webhely biztonságának mérlegelésekor néhány szempontot alaposan figyelembe kell venni, és ezeket érdemes megkérdezni a szolgáltatótól, mielőtt igénybe venné szolgáltatását:

  • Szoftverbiztonság: meg kell találnia a szoftverfrissítések kezelését; Például, ha az összes szoftver automatikusan frissül, vagy ha minden frissítést tesztelési folyamatnak vetnek alá a telepítés előtt.
  • DDoS védelem: ha a tárhelyszolgáltatás tartalmazza ezt a fajta védelmet, kérjen részleteket a megvalósítás módjáról, hogy ellenőrizze, megfelel-e a webhely követelményeinek.
  • SSL elérhetőség és támogatás: mivel a legtöbb esetben a tanúsítványokat a tárhelyszolgáltató kezeli, érdemes ellenőrizni, hogy milyen tanúsítványt kínál, és mi a tanúsítvány megújítási szabályzata.
  • Biztonsági mentés és visszaállítás: sok tárhelyszolgáltató kínál automatizált biztonsági mentési szolgáltatást, ami azért jó, mert ezzel gyakorlatilag elfelejtheti a biztonsági mentések készítését, tárolását és frissítését. De vegye figyelembe egy ilyen szolgáltatás költségét, és mérlegelje azt az erőfeszítést, amelybe beletelik, hogy saját maga készítse el a tartalmat.
  • Rosszindulatú programok elleni védelem: egy megbízható tárhelyszolgáltatónak védenie kell szervereit a rosszindulatú programok ellen, rendszeres kártevő-ellenőrzéssel és fájlok integritásának figyelésével. Megosztott tárhely esetén kívánatos, hogy a tárhelyszolgáltató fiókizolációt alkalmazzon, hogy megakadályozza a rosszindulatú programok fertőzésének terjedését a szomszédos webhelyek között.
  • Tűzfalvédelem: a tárhelyszolgáltató növelheti az általa üzemeltetett webhelyek biztonsági szintjét egy olyan tűzfal telepítésével, amely távol tartja az ellenséges forgalmat.

Tekintse meg a megbízható statikus webhelytárhely-platformot.

Erős jelszószabályzat érvényesítése

Mivel egy statikus webhely nem rendelkezik adatbázissal vagy felügyelt tartalomrendszerrel, kevesebb kezelendő felhasználónévvel és jelszóval rendelkezik. A statikus tartalom frissítéséhez használt tárhely- vagy FTP-fiókokhoz azonban továbbra is érvényesítenie kell a jelszószabályzatot.

A jelszavakra vonatkozó bevált gyakorlatok többek között a következők:

  • Időnként változtatva őket
  • A jelszó minimális hosszának beállítása.
  • Kis- és nagybetűk kombinációjának használata speciális karakterekkel és számokkal
  • Ne kommunikáljon velük e-mailben vagy szöveges üzenetben.

Ezenkívül az adminisztrátori fiókok alapértelmezett jelszavát a kezdetektől meg kell változtatni – ez egy gyakori hiba, amelyet a hackerek könnyen kihasználhatnak. Ne féljen a jelszó elvesztésétől; használjon jelszókezelőt a biztonságos kezelésükhöz.

Legyünk statikusak

Néhány évvel ezelőtt a dinamikus tartalom volt a járható út: minden könnyen módosítható és frissíthető volt, ami lehetővé tette a teljes webhely-újratervezést másodpercek alatt. De aztán a sebesség lett a legfontosabb, és a statikus tartalom hirtelen ismét hűvössé vált.

Ebben az értelemben minden webhelybiztonsági gyakorlatot újra kell értékelni – bizonyosan kevesebb szempontot kell figyelembe venni, de nem szabad megnyugodnia. Ez a bevált gyakorlatok listája minden bizonnyal segít létrehozni saját ellenőrzőlistát, hogy statikus webhelye biztonságban legyen.

  Fényképek hozzáadása az iPhone kezdőképernyőjéhez