پیشنهاد داکر برای انتخاب سرآیندهای بهتر

مشاور بخش امنیت شرکت Docker به نام دیگو مونیکا پیشنهاد کرده است برای کمک به مدیران سامانه‌ها دستورالعمل‌هایی نوشته شود تا به عنوان یک هشدار، کارت گزارش سرآیند خود را از FS به As تغییر دهند.
هر سرآیندی که به لحاظ امنیتی قوی باشد باید بتواند در برابر مشکلات امنیتی نظیر سرقت کلیک و حملات تزریق کد و گواهی‌نامه‌های بدافزارها و تنزل سوکت‌های امن غلبه کند.
بسیاری از وب‌گاه‌های تجارت الکترونیک و بانک‌داری در آزمون‌های امنیت سرآیند شکست خوردند، که به این فهرست باید اکثر وب‌گاه‌های اینترنتی را هم اضافه کرد.
وبلاگ مونیکا در برابر آزمون securityheader.io ناکام ماند و او را وادار به ارتقای آن کرد و موجب شد تا به مشاوره در مورد این‌که چگونه دیگران نیز می‌توانند همین کار را برای وب‌گاه‌های خود انجام دهند، بپردازد.
مونیکا میگوید: «به استثنای روش [پین‌گذاری کلید عمومی]، که من واقعاً فعال کردن آن را مگر این‌که شما یک تیم ورزیده‌ی متخصص در عملیات ویژه باشید، توصیه نمیکنم همه‌ی این سرآیندها باید برای محافظت از همه‌ی وب‌گاه‌هایی که شما روی آن کار می‌کنید فعال باشند.»
«اگر شما هنوز به هیچ‌گونه ترافیکی در وب خدمت‌رسانی نمی‌کنید تکرار تغییرات در پیکربندی بسیار ساده‌تر خواهد بود، پس زودتر این کار را انجام دهید و برای بعد نگذارید.»
مونیکا حوزه‌های متعددی را پوشش می‌دهد که شامل موارد چندی از جمله X-Content-Type-Options، امنیت شدید حمل و نقل، سیاست‌گذاری امنیت محتوایی و اتصال کلیدهای عمومی می‌باشند.
حفاظت تزریق کد، X-Content-Type-Options و X- Frame-Options به اندازه‌ی کافی برای استقرار یافتن ساده هستند در حالی‌که سایرین در صورتی که به درستی قرار نگیرند ممکن است بازدیدکنندگان را دور کنند.
خوانندگان دسترسی به مجموعه‌ای غنی از راهنماها و برگه‌ی راهنماهای تقلب برای استقرار امنیت سرآیندها را دارند. مونیکا میگوید: «استقرارHPKP شاید در این میان خطرناک‌ترین سرآیند امنیتی باشد.»
در اینجا نیز همچون HSTS اگر چیز اشتباه قرار داده شود، کاربران از دسترسی به وب‌گاه‌ها برای مدت زمانی که شما در مشخصه‌ی آرگومان max_age قرار داده‌اید، محروم خواهند شد.
او توصیه کرده است که تنها نسخه‌ی «گزارش تنها» را استفاده کنید تا پین‌ها بدون زمان توقف مورد آزمایش قرار گیرند.
کسانی که ترجیح می‌دهند تا یک تصویر با درجه‌بندی A از وب‌گاه خود داشته باشند، در آزمون‌هایی نظیر securityheaders.io و Qualys’ SSL labs بدون این‌که واقعاً کاری انجام دهند می‌توانند از پارامترهای junk استفاده کنند تا زمانی که تست‌باکس سابق تنها به بررسی این نکته می‌پردازد سرآیند موجود است.»
او به El Reg گفت که از سوی دیگر SSL Labs به هر کسی که از cloudflare استفاده کند نمره‌ی بالایی می‌دهد.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.