Site Server Security, SEO, і Вы: Атрымаеце Cozy з WebDevs

Гэта вельмі лёгка для лічбавых маркетолагаў аддзяліцца ад ІТ-каманды / WebDevs, робячы паляпшэння сайта. Расклад становіцца клапатлівым, ёсць арганізацыйныя сілас замарудзяць або, можа быць, вы проста ніколі не размаўляць адзін з адным. Многія арганізацыі рычагоў Папярочныя ведамасныя рашэнні для сумеснай працы, каб прадухіліць гэта, але нават у тых, ён можа быць лёгка забыцца пра бяспеку сайта і як яна ўплывае на SEO. Дрэнная бяспека можа прывесці да павелічэння часу загрузкі старонкі, час прастою, а таксама патэнцыйных шкоднасных актываў або перанакіроўвае час прабраўся на ваш сайт. Для таго, каб забяспечыць лепшы вопыт карыстальніка, то неабходна, каб ваш сайт застаецца бяспечным, нават калі вы ніколі не закрануць крэдытных карт і іншай інфармацыі PCI або PII.

Стварэнне вэб-сайта, якая выкарыстоўвае HTTPS, шчыра кажучы, становіцца нормай, таму мы не будзем удавацца ў гэта. Калі вы хочаце даведацца пра HTTPS, OnCrawl мае вялікі артыкул пра тое, як HTTPS паляпшае SEO канкрэтна, але ёсць некаторыя другарадныя пытанні бяспекі сайта, якія могуць быць не гэтак відавочныя і можа быць патэнцыяльнымі выгадамі для вас, вашых кліентаў і вашай арганізацыі.

У ідэале, атрымаць гэтыя выпраўлення рэалізаваны дазволіць прадухіліць атакі на вашым сайце, павысіць хуткасць сайта, да часу, і многіх іншых, з дадатковым бонусам стварэння добрым працоўнага працэсу і адносінаў з вашай камандай Dev! Маё меркаванне заўсёды што па маркетынгу і развіццю павінны працаваць разам, калі гэта магчыма, каб стварыць лепшы карыстацкі досвед для кліентаў.

Давайце пачнем з найбольш распаўсюджанай праблемай бяспекі, і карыстальнікам скаргай на парушэнні прыватнасці: Печыва
Вы можаце, у тэорыі, загружаць любую колькасць печыва (пажадана з надзейных крыніц, і якія самі па сабе забяспечыць), але ў той час як гэта разумна, каб абмежаваць колькасць печыва пазыковага, вы таксама павінны пераканацца, што вашыя печыва ў камплекце з «бяспечным» сцягам ,
Напрыклад, у ASP.NET, усё , што вам трэба зрабіць , гэта ўсталяваць наступныя ў Web.config: <httpCookies RequireSSL = »праўдзівы» /> або ўсталяваць RequireSSL = »праўдзівы» сцяг у web.config для канкрэтных элементаў старонкі. Вельмі проста!
У PHP, вы можаце ўсталяваць сцяг пастаянна ў php.ini, усталяваўшы session.cookie_secure = True ў якасці параметру.
Там шмат інфармацыі там аб забеспячэнні печыва і на розных мовах, таму я хацеў бы прапанаваць вам пайсці множны Sight Для атрымання больш канкрэтнай інфармацыі, якая можа апынуцца карыснай для вашага сайта, калі вы выкарыстоўваеце нешта, акрамя ASP.NET або PHP.

Сервер праграмнага забеспячэння Загалоўкі:
Кожны сайт працуе на серверы (Дух), але ці ведаеце вы, што ваш сайт сам сервер можа быць спецыяльна казаць атакуючым як знайсці эксплойты для вашай сістэмы? загалоўкі сервера публічна паказваць, які тып сервера вы выкарыстоўваеце, нумар версіі, тыпу кантэнту і якое праграмнае забеспячэнне ён працуе. Вы можаце адключыць / спыніць адпраўкі загалоўка сервера некалькі спосабаў, у залежнасці ад вашай тэхналогіі.

ngnix: Вы можаце наладзіць змест , якое Nginx адпраўляе адрэдагаваўшы nginx.conf. Па-першае, знайдзіце раздзел HTTP, які з'яўляецца тым, што вызначае канфігурацыю HttpCoreModule. Далей , каб адключыць дадзеныя загалоўка, усё , што вам трэба зрабіць , гэта дадаць thhis: server_tokens прэч; як дырэктыва.

IIS, платформа Windows Server, з'яўляецца трохі больш складаным, і ўключае ў сябе атрыманне некаторых рэсурсаў непасрэдна ад карпарацыі Майкрасофт. Гэта можа быць трохі хвалюе, але гэта варта.
Крок адзін, каб ўключыць «Metabase сумяшчальнасць» (які вы можаце зрабіць, вынікаючы гэтым інструкцыі ад Microsoft .)
Далей, вы ўсталюеце рэсурс URLScan (таксама можна знайсці на сайт падтрымкі кампаніі Microsoft )
Як толькі гэта будзе зроблена, адкрыйце файл URLScan.ini з дапамогай тэкставага рэдактара і пошук ключа «RemoveServerHeader». Гэта усталёўваецца ў 0 па змаўчанні, які дазваляе загаловак для адпраўкі, таму проста ўсталюеце значэнне 1, каб спыніць перадачу загалоўка сервера.

Apache / Lighttpd: На жаль, у мяне няма дастатковага досведу на Apache або Lighttpd , каб быць у стане забяспечыць кіраўніцтва аб тым , як наладзіць тыя, але я заклікаю вас працаваць з вашай камандай распрацоўшчыкаў , каб вырашыць , што калі вы выкарыстоўваеце адну з ім.

Цяпер мы пяройдзем да канкрэтных загалоўках бяспекі. Такім чынам, ёсць некаторыя загалоўкі бяспекі, акрамя тых, якія я збіраюся трапіць ніжэй, але наступныя з'яўляюцца тыя, якія я Спецыяльна маю вопыт працы з. Я настойліва раю вам зрабіць рэвізію вашых загалоўкаў бяспекі сервераў з вашай камандай Dev (пераважна над пончыкамі і кава), таму што яны , верагодна , ведаюць больш , чым я, і вы можаце працаваць над рэалізацыяй рашэнняў разам.

Адкрытыя ключы Pins:
HTTP Public Key Замацаванне абараняе ваш сайт ад нападаў з выкарыстаннем MiTM ізгояў сертыфікатаў X.509. Па белым спісе толькі ідэнтыфікатары, якія павінен давяраць браўзэр, карыстальнікі абароненыя ў выпадку, калі орган сертыфіката скампраметаваны. Для таго, каб пачаць максімальна эфектыўна выкарыстоўваць гэтыя перавагі, вам неабходна ўсталяваць наступны загаловак «пін-SHA256 =» base64 == »; макс ўзросту = expireTime [; IncludeSubdomains] [; справаздачна-URI = »reportURI»] »Вы таксама знойдзеце яго карысным для пошуку праграмнага забеспячэння канкрэтнай рэалізацыі для Apache, Lighttpd і IIS для забеспячэння максімальнай сумяшчальнасці.

Строгі-Transport-Security:
HTTP Strict Transport Security умацоўвае рэалізацыю TLS шляхам атрымання агента карыстальніка для забеспячэння выкарыстання HTTPS. (Я ведаю, я ведаю. Я павінен быў ўключаць у сябе нешта пра HTTPS!)
Ён абараняе ад пратаколу даунгрейда нападаў, а таксама стварае яшчэ адзін узровень бяспекі печыва шляхам прадухілення згону.
Хоць ёсць некаторыя ... шэрая зона ... вакол некаторых людзей, якія выкарыстоўваюць гэтую функцыю, каб стварыць «Supercookies», які можа падштурхнуць праз браўзэр «інкогніта» і «схаваныя» сесій, я да гэтага часу асабіста лічу гэта каштоўным дадаткам для бяспекі сервера. Калі ты крут пра гэта, вашы карыстальнікі будуць вам удзячныя.
Я рэкамендую выкарыстоўваць наступнае значэнне: "строгі транспарт-бяспека: макс-ўзрост = 31536000; IncludeSubdomains ».

Content-Security-Policy:
Гэта выдатны спосаб абараніць ваш сайт ад нападаў XSS. Калі вы белы зацверджаны крыніцы кантэнту, вы можаце прадухіліць браўзэры ад загрузкі шкоднасных актываў, якія могуць быць устаўленыя без вашага дазволу, якія выклікаюць пытанні бяспекі для карыстальнікаў і вашага хост-сервера. Каб паведаміць ваш сервер , каб толькі актывы , размешчаныя на вашым сайце (або даверанай асобы) 3 проста наладзіць свой загаловак Content-Security-Policy для чытання: Content-Security-Policy скрыпт-Src «сам» yourdomain.com. Проста дадайце абслуговы дамен вашага 3-іншых актываў пасля таго, як самастойна, каб уключыць іх таксама.
Кароткае заўвага! Калі загаловак яшчэ чытае X-Content-Security-Policy, вам неабходна абнавіць, што, паколькі браўзэры ў цяперашні час у першую чаргу падтрымліваюць версію без прэфікса. Вы можаце знайсці іншыя ўрокі, якія пакажуць вам усё падтрымоўваныя палітыкі і зменных, якія могуць ўключаць у сябе тут, але гэта самы асноўны адзін белы спіс вашых уласных рэсурсаў.

X-Content-Type-Options:
X-Content-Type-Options спыняе браўзэр ад спробаў MIME-панюхаць тып кантэнту. Вар'ят проста. У якасці дадатковага бонуса, гэта прымушае браўзэр дазволіць толькі дэкларуемым тып кантэнту. Там на самай справе толькі адзін дапушчальнае значэнне гэтага загалоўка , які я ведаю, і гэта «X-Content-Type-Options: nosniff».

X-Frame-Options:
Загаловак X-Frame-Options інфармуе браўзэр, ці вы хочаце, каб ваш сайт, каб быць аформлены ці не. Калі трымаць браўзэр ад апраўлення вашага сайта, вы можаце прадухіліць « ClickJacking . »Вы павінны ўсталяваць гэта наступным чынам: " х-FRAME-опцыі: SAMEORIGIN ".

X-XSS-Protection:
Гэты загаловак задае канфігурацыю фільтраў межсайтовый сцэнарыяў, убудаваных у большасці браўзэраў, за выключэннем непадтрымоўваных версій IE і Netscape. Але хто больш выкарыстоўвае Netscape, калі шчыра? Рэкамендуемае значэнне для гэтага загалоўка «X-XSS-Protection: 1; Рэжым = блок ».

Працэс атрымання гэтых выпраўленняў рэалізавана варта прымаць толькі ў агульнай складанасці некалькі дзён, уключаючы аўдыт, але пасля гэтага, вы можаце адпачыць лягчэй, ведаючы, што ваш сервер сайта з'яўляецца больш бяспечным, і што карыстальнікі абаронены ад эксплойтаў. Акрамя таго, мы спадзяемся, што вы атрымалі бліжэй да вашай камандзе Dev, і пабудавалі добрыя адносіны, каб лепш служыць вашай арганізацыі ў цэлым!