Safety Headers: aumentare los angeles sicurezza del sito con .htaccess

(*20*)

  • CommentaScrivi un commento
  • Discussion boardDiscuti sul discussion board
  • PrecedenteCriptare (e decriptare) record su Linux con OpenSSL
  • Esistono numerous tecniche consistent with innalzare il livello di sicurezza di un sito cyber web alcune piuttosto complesse altre, viceversa, abbastanza semplici a livello implementativo. In questo articolo vi presenterò alcuni semplici tip che vi consentiranno, con poca fatica, di implementare una maggior sicurezza delle vostre pagine cyber web attraverso l’aggiunta di poche istruzioni all’interno del record .htaccess.

    In pratica vedremo come aggiungere, attraverso .htaccess, i cosiddetti Safety Headers a protezione di alcuni aspetti fondamentali del vostro sito cyber web.

    Cos’è il record .htaccess

    Il record .htaccess è un comune record di testo che viene utilizzato dai gestori dei siti cyber web consistent with impostare alcune configurazioni del web-server Apache.

    Attraverso il record .htaccess è possibile, advert esempio, impostare los angeles pagina di default, creare dei redirect o settare degli headers.

    Usare .htaccess consistent with implementare los angeles sicurezza del sito

    In questo articolo vedremo tre headers specifici consistent with los angeles sicurezza del tuo sito. I coici proposti serviranno consistent with aggiungere intestazioni di sicurezza further a tutte le risorse del sito cyber web. In particolare vedremo come aggiungere intestazioni X-Safety consistent with los angeles protezione da eventali attacchi di cross-site scripting (XSS), incorporazione all’interno di body e content-sniffing.

    Continua dopo los angeles pubblicità…

    Protezione dagli attacchi XSS

    In line with prima cosa, vediamo come aggiungere un’intestazione X-Safety consistent with proteggere da eventuali attacchi di Move-Website Scripting. Si tratta di una tecnica informatica che affligge i siti cyber web dinamici che non effettuano sufficienti controlli sugli enter degli utenti, i quali possono sfruttare story vulnerabilità inserendo script lato consumer nelle pagine del sito cyber web.

    In line with fare ciò è sufficiente aggiungere los angeles seguente direttiva al record .htaccess nella root del sito:

    <IfModule mod_headers.c>
    Header set X-XSS-Coverage "1; mode = block"
    </IfModule>

    In line with attivare los angeles protezione da XSS non sono necessarie modifiche o personalizzazioni del codice, è sufficiente un banale copia e incolla. Questo codice funziona aggiungendo l’intestazione X-XSS-Coverage alle risposte del server. L. a. maggior parte dei browser moderni riconosce questa intestazione e los angeles utilizzerà consistent with proteggere il tuo sito dagli attacchi di tipo XSS.

    Protezione da click-jacking (evitare l’incorporazione di un sito all’interno di body)

    Un’altra utilissima intestazione che vi consiglio di aggiungere all’interno del vostro record .htaccess riguarda los angeles prevenzione del click-jacking. Attraverso questa tecnica fraudolenta un malintenzionato potrebbe utilizzare le pagine del vostro sito cyber web consistent with rubare i dati dei vostri utenti!

    Grazie advert un’intestazione X-Safety, tuttavia, è possibile impedire che le pagine del nostro sito vengano incorporante all’interno di altre pagine cyber web che, appunto, potrebbero essere utilizzate consistent with il click-jacking.

    Di seguito il codice da aggiungere al record .htaccess:

    <IfModule mod_headers.c>
    Header at all times append X-Body-Choices SAMEORIGIN
    </IfModule>

    Anche in questo caso non sono necessarie modifiche. Questo codice funziona aggiungendo l’intestazione X-Body-Choices alle risposte del server, codice che los angeles maggior parte dei browser moderni comprende e riconosce impedendo, di conseguenza, l’incorporazione delle pagine del sito all’interno di body (a mano che il body non si trovi nello stesso dominio).

    Protezione contro lo sniffing

    Un altro rischio dal quale è possibile difendersi è lo sniffing del MIME-Kind. Anche in questo caso possiamo mitigareil problema con un’intestazione X-Safety. Di seguito il codice da aggiungere al record .htaccess:

    <IfModule mod_headers.c>
    Header set X-Content material-Kind-Choices nosniff
    </IfModule>

    Ancora una volta non ci sono modifiche da fare. Basta copiare il codice ed il gioco è fatto. Questo codice comporta l’aggiunta dell’intestazione X-Content material-Kind-Choices alle risposte del server. L. a. maggior parte dei browser Internet moderni comprende questa intestazione e los angeles utilizzerà consistent with garantire i tipi MIME appropriati consistent with tutte le risorse caricate (advert esempio, CSS, JavaScript, font, immagini, video, ecc.).

    Combinare tutte le intestazioni X-Safety

    Ora che abbiamo visto le intestazioni X-Safety che vogliamo aggiungere, combiniamole in un singolo frammento di codice:

    <IfModule mod_headers.c>
    Header set X-XSS-Coverage "1; mode = block"
    Header at all times append X-Body-Choices SAMEORIGIN
    Header set X-Content material-Kind-Choices nosniff
    </IfModule>

    Verifica delle nuove intestazioni

    Dopo aver implementato queste nuove intestazioni X-Safety, è possibile verificarne il corretto funzionamento utilizzando un’estensione del browser come, advert esempio, HTTP Header Secret agent di Google Chrome (disponibile (*1*)qui) oppure HTTP Header Are living consistent with Firefox (disponibile qui) oppure, in alternativa, effettuare un controllo mediante un qualche device on-line come, advert esempio, quello disponibile su securityheaders.com.

    Se l’implementazione dei nuovi header è andata a buon tremendous dovreste vedere il risultato corrispettivo all’interno delle intestazioni HTTP scambiate tra il consumer ed il server al momento del download della pagina cyber web.