Каждый день возникает все больше уязвимостей в системах безопасности сайтов, что делает регулярное обслуживание сайта необходимым условием для поддержания безопасности его содержимого. Существуют различные методы защиты сайта от взлома, однако одним из самых эффективных и простых, но редко используемых являются HTTP-заголовки.
При открытии страницы посетитель сайта делает запрос браузеру, указывая адрес домена сайта. В этот момент браузер использует протокол HTTP для связи с сервером, где хранится содержимое сайта. Сервер обрабатывает содержимое и отправляет ответ браузеру. Браузер получает информацию, состоящую из двух частей: содержимое, представленное посетителю, и информацию, необходимую для его использования. Последняя информация кодирует правила о том, какие действия допустимы при использовании содержимого сайта.
Без использования HTTP-заголовков посетитель сайта может увидеть всю информацию в коде сайта и использовать ее для атак на сайт. HTTP-заголовки устанавливают правила для браузера относительно того, какие данные можно, а какие нельзя показывать публично. Ограничение доступа к определенным данным на сайте снижает, а зачастую и исключает вероятность взлома сайта.
Содержание статьи
Атаки, направленные на сайты
Использование заголовков HTTP помогает защититься от наиболее распространенных атак на сайты. Ниже рассматриваются распространенные атаки на сайты, их цель и то, какие HTTP-заголовки можно использовать для защиты.
Кликджекинг
Этот тип атаки осуществляется путем вставки мошеннического контента на сайт. Заголовок X-Frame-Options помогает защититься от таких обманных вставок содержимого.
Внедрение кода
На сайт вставляется программный код без ведома владельца. Заголовок Content Security Policy (CSP) помогает защититься от таких атак.
MIME-сниффинг
Этот тип атаки использует браузер, который в некоторых случаях самостоятельно интерпретирует действия, предпринимаемые на сайте. Например, на сайт пытаются внедрить вредоносный код, использующий тип данных JavaScript. На сайте уже используется заголовок Content Security Policy, и попытки вставить код извне пресекаются. Программа меняет тип данных на текст и вызывает поведение браузера, который по умолчанию интерпретирует код по своему усмотрению. Это позволяет вставить код и затем использовать его как сценарий, а не просто как текстовый файл. Именно этот тип интерпретации браузера ограничивается заголовком X-Content-Type-Options.
Открытие сертифицированного сайта с использованием небезопасного соединения
Суть этой атаки заключается в том, чтобы воспользоваться небезопасным перенаправлением браузера с протокола HTTP на HTTPS. Это связано с тем, что сайты, основанные на сертификатах, можно открывать без использования сертификата. Использование сертификата применяется для перенаправления на протокол безопасного соединения (HTTPS). Разработчики программного обеспечения могут воспользоваться этим перенаправлением, чтобы вмешаться в соединение до того, как оно будет открыто через HTTPS. Этот тип взлома можно предотвратить, используя заголовок (HSTS), который сообщает браузеру, что сайт может быть открыт только по протоколу HTTPS.
Кража кэша
Этот тип кражи возможен не путем взлома непосредственно сайта, а путем взлома прокси-сервера, на котором хранятся кэшированные данные. Эти атаки также известны как атаки типа «человек посередине» (Man-In-The-Middle). Браузеры постоянно хранят временные данные, чтобы ускорить загрузку сайта в будущем при его повторном открытии. Во многих случаях сайты используют различные прокси-сети доставки контента (CDN) для ускорения загрузки страницы. На этих серверах хранятся временные данные. Эти данные могут включать в себя логины в системы, почтовые ящики и т.д. Хотя вероятность незаконного присвоения этих данных невелика, владельцу сайта необходимо убедиться, что эти данные не передаются другим источникам, таким как CDN. Чтобы избежать подобных ситуаций, следует использовать заголовок Cache-Control, который определяет, какие данные и как долго могут храниться на прокси-серверах.
Конечно, это лишь некоторые из возможных типов атак. Каждый день обнаруживаются новые способы взлома сайтов, поэтому, чтобы избежать этого, необходимо следить за соблюдением стандартов безопасности и использовать самые надежные методы защиты.
Типы и функции заголовков HTTP
Количество типов заголовков HTTP постоянно растет в соответствии с новыми обнаружениями уязвимостей безопасности. Некоторые заголовки предназначены только для определенных браузеров или версий браузеров, потому что то, что работает в одном браузере, не обязательно будет работать в другом. Однако не рекомендуется пытаться использовать как можно больше различных HTTP-заголовков, так как чрезмерное использование может привести к сбоям в работе сайта. Бывают даже случаи, когда HTTP-заголовки мешают друг другу или замедляют работу сайта. Поэтому эксперты по безопасности рекомендуют использовать от 5 до 8 наиболее популярных HTTP-заголовков.
Также важно отметить, что использование неправильного HTTP-заголовка может повредить сайт и вообще не дать ему открыться, поэтому перед использованием этого метода защиты рекомендуется протестировать копию сайта или менее важный сайт. Лучше проконсультироваться с дизайнерами или разработчиками вашего сайта, прежде чем использовать эту практику безопасности.
Наиболее часто используемые заголовки HTTP
1. Content-Security-Policy — ограничивает возможность встраивания кода или другого содержимого, которое подвергается внешнему воздействию. Это позволяет указать конкретный адрес, с которого может быть загружено содержимое. В качестве альтернативы вы можете указать только те элементы содержимого и адреса, которые разрешены, ограничив при этом все остальное содержимое извне. CSF является наиболее функциональным заголовком для защиты от атак типа кликджекинг и вставки кода.
2. HTTP Strict Transport Security — запрещает попытки доступа к сайту без использования SSL-сертификата, т.е. с использованием протокола HTTP вместо HTTPS. В заголовке может быть указано время, в течение которого браузеры будут выполнять это ограничение.
3. X-Frame-Options — использование этого заголовка поможет предотвратить атаки кликджекинг, т.е. ограничивает вставку элемента фрейма. Этот заголовок выполняет некоторые функции заголовка CSF, но он также полезен, поскольку распознается большей частью браузеров, чем CSF. Используемый синтаксис также проще и поэтому меньше вероятность неправильного описания.
4. X-Content-Type-Options — основное и единственное назначение этого заголовка — защита от атак MIME-сниффинг, т.е. независимых от браузера интерпретаций при попытке выполнить код сайта. С помощью этого заголовка браузер не раскрывает публично используемые элементы содержимого, поэтому хакеры не знают, какую именно кодировку использовать для обхода ограничений безопасности.
5. Cache-Control — предоставляет браузеру информацию о том, какое содержимое посетитель может хранить на прокси-серверах и как долго может храниться все содержимое сайта. Этот заголовок полезен как для защиты от кражи данных посетителей, так и для ускорения работы сайта.
6. Feature-Policy — позволяет управлять такими функциями браузера, как геолокация, полноэкранный режим, динамик, USB, автозапуск, вибрация, микрофон, платежи, VR и многое другое. Вышеуказанные функции нельзя активировать извне с помощью этого заголовка.
В некоторых системах управления контентом есть плагины, помогающие управлять HTTP-заголовками. Например, вы можете установить плагин HTTP-заголовков в системе управления контентом WordPress.
Резюме
Использование заголовков HTTP и соблюдение синтаксиса заголовка поможет защитить ваш сайт от возможных атак и взломов. В любом случае, использование только этих HTTP-заголовков не может обеспечить 100% защиту сайта, поэтому не стоит забывать о своевременном обновлении программного обеспечения. Безопасность сайта важна как для владельца сайта, так и для его посетителей. Поэтому, только имея защищенный сайт, вы сможете быть спокойны за безопасность посетителей, которые будут доверять вашему сайту и посещать его чаще.
