5 عنوان امنیتی HTTP که برای سئو باید بدانید

Image for post
Image for post

درباره هدرهای امنیتی، نحوه کار و اهمیت آنها در سئو، هدرهای امنیتی برتر که باید بدانید و موارد دیگر بیاموزید.

هدرهای امنیتی به راحتی در ممیزی وب سایت نادیده گرفته می شوند.

در حالی که برخی ممکن است بگویند که امنیت وب سایت یک نگرانی مرتبط با سئو نیست، زمانی که یک سایت هک شود و ترافیک جستجو به صفر برسد، به سئو مرتبط می شود.

سرصفحه‌های امنیتی باید دغدغه اصلی همه کسانی باشد که هر چیزی را در اینترنت منتشر می‌کنند.

خبر خوب این است که پیکربندی آنها نسبتاً ساده است و به حفظ امنیت وب سایت و بازدیدکنندگان آن کمک می کند.

در این ستون، هدرهای امنیتی چیست و چگونه کار می کنند و همچنین با 5 هدر امنیتی برتر، نحوه پیاده سازی آنها، از کدام افزونه های وردپرس می توانید برای تنظیم هدرهای امنیتی و موارد دیگر استفاده کنید.

بیا شروع کنیم!

 تبلیغ خدمات رخ نت :  طراحی سایت در اصفهان

سربرگ های امنیتی چیست؟

سرصفحه های امنیتی دستورالعمل هایی هستند که مرورگرها باید از آنها پیروی کنند و از طریق پاسخ هدر HTTP ارسال می شوند.

هدر HTTP پاسخی است که توسط یک وب سرور به مرورگری که سعی در دسترسی به یک صفحه وب دارد.

پاسخ سرصفحه مواردی مانند زمانی که صفحه وب وجود ندارد (400 سرصفحه پاسخ) ارتباط برقرار می کند.

یا اینکه خوب است یک فونت را از Google دانلود کنید اما به هیچ داده دیگری خارج از دامنه وب سایت اعتماد نکنید.

در آن مثال، بخشی که به مرورگر می‌گوید خوب است فونت‌های Google را دانلود کنید اما به هیچ فایلی که در جای دیگری غیر از خود وب‌سایت منشا گرفته باشد اعتماد نکنید، یک دستورالعمل امنیتی است.

یک دستورالعمل امنیتی مانند آن، مرورگر را از دانلود فایل های مخرب از وب سایت دیگر مسدود می کند.

سربرگ های امنیتی محدودیت ها و دستورالعمل هایی را معرفی می کنند که از رویدادهای امنیتی ناخواسته جلوگیری می کند.

چرا از هدرهای امنیتی استفاده کنیم؟

نرم افزارهای ربات خودکار به طور مداوم وب سایت ها را برای نقاط ضعف امنیتی بررسی و آزمایش می کنند.

این آسیب‌پذیری‌ها را می‌توان توسط سیستم مدیریت محتوا، کتابخانه جاوا اسکریپت که برای افزودن قابلیت‌ها استفاده می‌شود، و برای ضعف‌های امنیتی معرفی‌شده توسط یک افزونه یا یک موضوع معرفی کرد.

گفته می شود وب سایت هایی که از هدرهای امنیتی استفاده می کنند در برابر تهدیدات امنیتی سخت تر می شوند.

در حالی که یک وب سایت می تواند بدون استفاده از هدرهای امنیتی با به روز نگه داشتن اجزای آن و استفاده از افزونه های امنیتی کار کند، انجام این کار بیهوده وب سایت و بازدیدکنندگان سایت را در معرض خطرات امنیتی قرار می دهد.

به عنوان مثال، افزونه‌های امنیتی نمی‌توانند جلوی تزریق تبلیغاتی را بگیرند که درآمد تبلیغاتی را از صاحب سایت سلب می‌کند.

شاید بهترین دلیل برای استفاده از هدرهای امنیتی این باشد که پیاده سازی آنها نسبتاً آسان است و اطمینان حاصل می شود که یک وب سایت به طور عادی کار می کند.

Image for post
Image for post

5 سرفصل امنیتی برتر

1. Content-Security-Policy (CSP)

یک خط مشی امنیتی محتوا (CSP) به محافظت از وب سایت و بازدیدکنندگان سایت در برابر حملات Cross Site Scripting (XSS) و در برابر حملات تزریق داده کمک می کند.

اسکریپت بین سایتی (XSS)

اکسپلویت های Cross-Site Scripting (XSS) زمانی اتفاق می افتد که هکرها از یک حفره امنیتی برای آپلود اسکریپت های مخرب در یک وب سایت استفاده می کنند که سپس در مرورگر قربانی دانلود می شوند.

حملات XSS از نقایص موجود در یک سیستم مدیریت محتوا استفاده می کنند که به دلیل پاکسازی ناکافی فایل ورودی کاربر، امکان تزریق ورودی های غیرمنتظره را فراهم می کند.

به عنوان مثال، معمولاً یک فرم ایمیل باید به گونه ای کدگذاری شود که ورودی محدودی داشته باشد.

یک فرم کدگذاری شده ضعیف ممکن است اجازه ورود دیگری را بدهد که می تواند منجر به تزریق فایل های مخرب شود.

حمله XSS می تواند برای سرقت رمزهای عبور یا به عنوان بخشی از یک رویداد هک چند مرحله ای استفاده شود.

حملات تزریقی

پروژه Open Web Application Security Project (OWASP) حملات تزریقی را به عنوان یک خطر امنیتی جدی توصیف می کند:

“تزریق تلاش مهاجم برای ارسال داده ها به یک برنامه کاربردی به گونه ای است که معنای دستورات ارسال شده به مترجم را تغییر دهد.

به عنوان مثال، رایج‌ترین مثال تزریق SQL است که در آن مهاجم به جای فقط «101» «101 OR 1=1» را ارسال می‌کند. هنگامی که این داده در یک پرس و جوی SQL گنجانده می شود، معنای آن را تغییر می دهد تا به جای تنها یک رکورد، همه رکوردها را برگرداند.

… اغلب این مفسرها با دسترسی زیادی اجرا می شوند، بنابراین یک حمله موفقیت آمیز می تواند به راحتی منجر به نقض قابل توجه داده ها، یا حتی از دست دادن کنترل مرورگر، برنامه یا سرور شود. در مجموع، حملات تزریقی درصد بزرگی از خطرات امنیتی جدی برنامه را تشکیل می دهند.

خط مشی امنیت محتوا به خودی خود صد در صد از سایت در برابر حملات محافظت نمی کند، اما به کاهش احتمال حمله اسکریپت بین سایت کمک می کند.

یک هدر CSP به مرورگر دستور می دهد که منابع را فقط از مجموعه ای از دامنه ها و فقط از آن دامنه ها دانلود کند.

هر مهاجمی که در حال دانلود اسکریپت های مخرب از سرور دیگری خارج از آن گروه مورد اعتماد باشد، مسدود خواهد شد.

ایجاد یک خط‌مشی امنیت محتوا می‌تواند به همان اندازه سخت‌گیرانه یا ملایم‌تر باشد که یک ناشر نیاز دارد.

هشدار: با این حال، راه‌اندازی یکی می‌تواند کمی مشکل باشد، زیرا باید همه اسکریپت‌ها و منابعی را که از خارج از دامنه شما دانلود می‌شوند فهرست کنید تا آنها را در لیست سفید قرار دهید.

2. سربرگ امنیتی حمل و نقل (HSTS)

سرصفحه Strict-Transport-Security Header Strict-Transport-Security HTTP Strict Transport Security (HSTS) نیز نامیده می شود.

بسیاری از وب سایت ها فقط یک تغییر مسیر 301 از HTTP به HTTPS دارند.

اما این برای ایمن نگه داشتن وب سایت کافی نیست زیرا وب سایت هنوز در برابر حمله مرد میانی آسیب پذیر است.

HSTS مانع از کاهش اتصال HTTPS به یک اتصال HTTP توسط مهاجم می شود که سپس به مهاجم اجازه می دهد از تغییر مسیرهای ناامن استفاده کند.

به عنوان مثال، اگر شخصی برای دسترسی به سایتی در example.com تایپ کند، بدون اینکه در واقع قسمت https را تایپ کند (یا به سادگی http را از روی عادت تایپ کند)، در این صورت فرصت برای حمله man-in-the-middle وجود دارد.

این نوع حمله می تواند ارتباط بازدیدکنندگان سایت با وب سایت را به خطر بیندازد و هرگونه اطلاعات حساسی که بین بازدید کننده و وب سایت رد و بدل می شود برای مهاجم قابل مشاهده می شود.

به عنوان مثال، یک مهاجم می تواند کوکی هایی را که حاوی اطلاعات حساسی مانند اعتبارنامه ورود هستند، رهگیری کند.

دولت ایالات متحده سه سناریو را فهرست می کند که در آن HTTPS می تواند به HTTP تنزل یابد و متعاقباً به مهاجم اجازه می دهد امنیت را به خطر بیاندازد.

این سه روشی است که می توان HTTPS را کاهش داد:

  • هنگامی که کاربر “gsa.gov” را در نوار URL تایپ می کند، مرورگرها به طور پیش فرض از http:// استفاده می کنند.
  • کاربر ممکن است روی پیوند قدیمی که به اشتباه از آدرس http:// استفاده می کند کلیک کند.
  • شبکه کاربر ممکن است خصمانه باشد و فعالانه پیوندهای https:// را به http:// بازنویسی کند.

هدر HSTS با مجبور کردن مرورگر به عدم پذیرش اتصال HTTP از این اتفاق جلوگیری می کند.

هدر HTTP Strict Transport Security (HSTS) به مرورگر می گوید که کل وب سایت فقط باید توسط یک پروتکل امن HTTPS قابل دسترسی باشد.

نکته جانبی: نحوه از پیش بارگذاری HSTS در کروم

در یک یادداشت مرتبط، Google Chrome یک برنامه HSTS Preload دارد که در آن ناشران می‌توانند سایت‌های خود را ارسال کنند تا توسط Chrome به‌عنوان فهرستی که فقط از طریق پروتکل HTTPS قابل دسترسی هستند، فهرست شوند.

بسیاری از مرورگرهای وب مبتنی بر کروم متعاقباً این وب‌سایت‌ها را با HTTPS و فقط از طریق HTTPS از قبل بارگذاری می‌کنند، و آن استاندارد را مستقیماً در مرورگر کدنویسی می‌کنند.

سایت های واجد شرایط باید از قبل هدر امنیتی HSTS را ارائه کنند.

این چهار شرط لازم برای واجد شرایط بودن برای بارگیری پیش‌بارگیری HSTS کروم است:

  1. «گواهی معتبر ارائه کنید.
  2. اگر در پورت 80 گوش می دهید، از HTTP به HTTPS در همان هاست هدایت شوید.
  3. همه زیر دامنه ها را از طریق HTTPS ارائه دهید. به ویژه، اگر یک رکورد DNS برای آن زیر دامنه وجود دارد، باید از HTTPS برای زیر دامنه www پشتیبانی کنید.
  4. یک هدر HSTS در دامنه پایه برای درخواست های HTTPS ارائه شود: – حداکثر سن باید حداقل 31536000 ثانیه (1 سال) باشد. – دستورالعمل includeSubDomains باید مشخص شود. – دستورالعمل پیش بارگذاری باید مشخص شود.- اگر در حال ارائه یک تغییر مسیر اضافی از سایت HTTPS شما، آن تغییر مسیر همچنان باید سربرگ HSTS داشته باشد (به جای صفحه ای که به آن هدایت می شود).

 آشنایی با خدمات رخ نت :  طراحی لوگو اصفهان

3. X-Content-Type-Options

این هدر امنیتی انواع خاصی از سوء استفاده ها را که می تواند اتفاق بیفتد، به عنوان مثال، از طریق محتوای مخرب تولید شده توسط کاربر، متوقف می کند.

اگر محتوا یک تصویر (.jpg)، یک فیلم (mp4.)، یا متن، HTML، جاوا اسکریپت، و دیگر انواع محتوای قابل دانلود از یک وب‌سایت باشد، مرورگرها می‌توانند «خروج» کنند.

«sniffing» به مرورگر اجازه می‌دهد تا عناصر صفحه وب را دانلود کرده و به درستی آنها را ارائه کند، به‌ویژه در شرایطی که ابرداده‌ای که مرورگر برای ارائه عنصر به آن نیاز دارد، وجود ندارد.

Sniffing به مرورگر اجازه می دهد تا بفهمد عنصر چیست (تصویر، متن و غیره) و سپس آن عنصر را رندر کند.

با این حال، هکرها سعی می‌کنند مرورگرها را فریب دهند تا فکر کنند یک فایل مضر جاوا اسکریپت در واقع یک تصویر است، به مرورگر اجازه می‌دهد فایل را دانلود کند و سپس آن فایل را اجرا کند، به ویژه با آنچه که به عنوان Drive-by Download Attack.

هدر X-Content-Type-Options می تواند با غیرفعال کردن توانایی مرورگرها از “خریدن” برای نوع محتوا، آن و سایر حملات مرتبط را متوقف کند.

4. X-Frame-Options

هدر امنیتی X-Frame-Options به توقف حملات جک کلیک کمک می کند.

موزیلا Click-jacking را اینگونه توصیف می کند:

«… تمرین فریب دادن کاربر برای کلیک کردن روی پیوند، دکمه و غیره که غیر از آن چیزی است که کاربر فکر می‌کند.

این را می توان به عنوان مثال برای سرقت اعتبار ورود به سیستم یا دریافت مجوز ناخواسته کاربر برای نصب یک بدافزار استفاده کرد.”

برای مثال، هدر X-Frame-Options با جلوگیری از رندر شدن یک صفحه وب در داخل یک iframe کار می کند.

با این حال، بیش از حملات مبتنی بر iframe از آن جلوگیری می کند.

مایکروسافت Frame Sniffing را به این صورت تعریف می کند:

Framesniffing یک تکنیک حمله است که از عملکرد مرورگر برای سرقت اطلاعات از یک وب سایت استفاده می کند.

برنامه های کاربردی وب که به محتوای آنها اجازه می دهند در یک IFRAME بین دامنه ای میزبانی شود ممکن است در برابر این حمله آسیب پذیر باشند.

هدر X-Frame-Options را می توان برای کنترل قرار دادن یک صفحه در IFRAME استفاده کرد.

از آنجایی که تکنیک Framesniffing متکی بر توانایی قرار دادن سایت قربانی در IFRAME است، یک برنامه وب می تواند با ارسال یک هدر X-Frame-Options مناسب از خود محافظت کند.

پروژه امنیتی برنامه وب باز (OWASP) توضیح مفیدی در مورد حملات جک کلیک ارائه می دهد:

“… مهاجمی را تصور کنید که وب سایتی می سازد که دکمه ای روی آن دارد که می گوید “برای یک آی پاد رایگان اینجا را کلیک کنید”.

با این حال، در بالای آن صفحه وب، مهاجم یک iframe را با حساب ایمیل شما بارگذاری کرده است و دقیقاً دکمه «حذف همه پیام‌ها» را مستقیماً در بالای دکمه «آی‌پاد رایگان» ردیف کرده است.

قربانی سعی می‌کند روی دکمه «آی‌پاد رایگان» کلیک کند، اما در عوض روی دکمه نامرئی «حذف همه پیام‌ها» کلیک کرده است.

در اصل، مهاجم کلیک کاربر را «ربایش» کرده است، از این رو نام آن «Clickjacking» است.

هدر X-Frame-Options برای محافظت از بازدیدکنندگان سایت و همچنین اعتبار سایت شما مهم است.

صفحه وب OWASP در مورد جک کردن کلیک در ادامه توضیح می دهد که چگونه Adobe Flash قربانی یک حمله جک کلیک شد که به هکرها اجازه می داد کنترل میکروفون ها و دوربین ها را در دست بگیرند و در نتیجه شهرت منفی فلش را به عنوان یک کابوس امنیتی تثبیت کرد.

شناخته شدن در رسانه های اجتماعی و اینترنت بزرگ به عنوان یک خطر امنیتی برای تجارت بد است.

هدر X-Frame-Options یک اقدام امنیتی مفید برای پیاده سازی است.

خواندن ادامه مقاله در لینک زیر :