Cum să activați anteturile HSTS pe site-uri web securizate

  • 72 acțiuni
  • Facebook
  • Stare de nervozitate
  • pinterest

Sensul HSTS este HTTP Strict Transport Security, sau ceea ce este același, tradus în spaniolă, HTTP cu Strict Transport Security. Este un sistem de securitate sau o politică implementată pentru a preveni atacurile care încearcă să intercepteze comunicațiile. Prin activarea antetelor HSTS, serverul web indică faptul că browserele web pot interacționa cu acesta numai folosind conexiuni HTTP securizate, adică conexiuni HTTPS.

Folosind aceste anteturi, serverul comunică cu browserul printr-un câmp, așa cum am indicat, numit Securitate strictă a transporturilor. Sistemul HSTS indică o perioadă de timp în care agentul utilizator va accesa serverul doar într-un mod securizat.

Importanța protocolului HTTPS

Astăzi este foarte important ca site-urile web să utilizeze protocolul securizat HTTPS. Am vorbit deja despre asta în securitatea pe Internet devine din ce în ce mai importantă. Instalarea acestuia necesită un certificat SSL, pe care majoritatea furnizorilor de găzduire îl oferă gratuit, atunci când îl folosesc Să criptăm. Există mai multe articole care vorbesc despre toți pașii pentru a trece de la HTTP la HTTPS. Unul destul de complet este Cum să treci de la http la https: Instalează certificatul SSL pas cu pas.

Cum să activați anteturile HSTS

După efectuarea modificării este momentul în care trebuie efectuată activarea antetelor HSTS. Dacă aveți un server Apache, cel mai bine este să adăugați următoarele rânduri la fișier .htaccess, în spațiul care găzduiește fișierele:

# Antetul X-Frame-Options pentru a îmbunătăți securitatea Antetul Adăugați întotdeauna antetul X-Frame-Options SAMEORIGIN # Strict-Transport-Security pentru a indica durata antetului HSTS Header add Strict-Transport-Security "max-age=157680000; includeSubDomains ; preîncărcați" # antetul X-XSS-Protection pentru a preveni atacurile XSS pe IE și Chrome Setați antet X-XSS-Protection "1; mode=block" # Antetul X-Content-Type-Options pentru a preveni încărcarea foilor de stil sau scripturi rău intenționate Header set X-Content-Type-Options "nosniff" # Header Referer-Policy Header set Referrer-Policy no-referrer-when-downgrade # Header Content-Security-Policy Header set Content-Security- Policy "self " # Header Feature-Policy Header set Feature-Policy "accelerometru 'niciun'; cameră 'niciun'; geolocalizare 'niciun'; giroscop 'niciun'; magnetometru 'niciun'; microfon 'niciunul'; plată 'niciunul'; usb 'niciunul'"

Unele modificări pot fi făcute în diferitele secțiuni. Astfel puteți modifica valoarea lui max-age și valoarea self, corespunzătoare antetului Content-Security-Policy, făcându-l mai precis.

Pentru a afla dacă un site web are antete HSTS perfect activate, puteți utiliza Antetele de securitate și introduceți adresa URL a site-ului.

După ce faceți acest lucru, va fi afișată o casetă în care este specificată evaluarea acestora. Dacă oricare dintre anteturi nu este activat sau este greșit, veți vedea un link roșu către o pagină care explică unde este eroarea și cum poate fi corectată.

Mai jos veți vedea o mostră de anteturi web. Ceva asemanator cu urmatorul:

concluzie

Oricine deține un site web securizat ar trebui să verifice dacă are sau nu antete HSTS activate. Dacă nu le aveți, ar trebui să încercați prin toate mijloacele să le activați. Motoarele de căutare, cu Google în frunte, vor ține cont de asta.

  • 72 acțiuni
  • Facebook
  • Stare de nervozitate
  • pinterest

Lasă Un Comentariu

Please enter your comment!
Please enter your name here