Security Header ile Web Siteniz Daha Güvenli

HTTP Security Header Nedir?

HTTP Security Header, web sitenizin içeriğini tarayıcılara bildirmek ve tarayıcıların nasıl davranacağını belirtmek için kullanılır. Tarayıcımızın adres çubuğuna bir URL girdiğimizde HTTP response ve request bilgileri içeren headerlar devreye girer. HTTP Security Header bilgilerini response header’ın içerisinde bulundurur.

Son kullanıcıların web sitenize Man-in-the-Middle Attack gibi saldırılardan korunarak güvenli bir şekilde girmelerini istiyorsanız web sitenize HTTP yerine HTTPS ile ulaştıklarından emin olmanız gerekir. HTTP Security Header’da bulunan HTTP Strict Transport Security (HSTS) alanını ayarlayarak HTTPS kullanımını aktifleştirebilirsiniz.

Örneğin www.medianova.com web sitesine girmek istediğimizde tarayıcımız Medianova web sunucusuna bir request yollar. Sunucu da buna uygun response’u yollar. Altta, örnek bir HTTP response(cevap) header bilgileri gösterilmiştir.

Medianova Panel üzerinden Security Header özelliğimizi aktifleştirmek için aşağıda belirtilen görseldeki gibi ‘Yes’ butonuna basabiliriz.

HTTP Security Header’da HTTP Strict Transport Security, X-XSS Protection, X-Frame Options ve X-Content Type Options alanları bulunur.

Şimdi bu alanları sırayla inceleyelim.

1)HTTP Strict Transport Security (HSTS)

HSTS, bir kullanıcının web tarayıcısı ile yaptığı HTTP request’ini otomatik olarak HTTPS’e dönüştürür. Böylece request için HTTP kullanılmasını engeller. Örneğin, HSTS header’ı aktif olan bir web sitesinde siz http://www.medianova.com URL’sini adres çubuğuna girdiğinizde tarayıcınız sizi otomatik olarak https://www.medianova.com adresine yönlendirir.

Aşağıdaki görselde Strict-Transport Security Header bilgisi görülmektedir.

Hangi firmaların HSTS kullandığını https://hstspreload.org/ adresinden öğrenebilirsiniz.

Aşağıdaki görselde Firefox, Chrome ve Safari vb. tarayıcıların HSTS’i destekleyen (yeşil) ve desteklemeyen (kırmızı) sürümleri gösterilmiştir.

HSTS Konfigürasyonu

HSTS ile ilgili parametrelere değinelim.

1.1)Max Age : Sadece HTTPS üzerinden alınan istekler için belirtilen süreyi belirtir.

1.2)Include Subdomains :

Ayarların Sub-domainler için de geçerli olduğunu belirten parametredir.

Medianova Panel üzerinde aktifleştirme işlemlerini Security Header kısmından inceleyebilirsiniz.

Tüm sub-domainlerin HSTS üzerinde default olarak gelmesini istiyorsanız include sub-domainin aktif olması içinYes’ butonunu seçiniz.

1.3)Preload :

HSTS domainleri, tarayıcılar tarafından preload listesine koyulur. Bu sayede ilk request’te bile HTTPS olarak gönderilir.

Preload özelliğinin aktif olması için ‘Yes’ butonunu seçiniz.

2)X-XSS PROTECTION

Web sitenizi XSS(Cross-Site-Scripting) saldırılarından korumak için sunucu tarafında bazı header bilgileri response header’a eklenir

Bu header, Internet Explorer 8+ , Chrome, Opera ve Safari tarayıcılarında desteklenen önlem yöntemidir.

X-XSS Protection , Response Header üzerinden bu şekilde gelmektedir.

X-XSS Protection özelliğini aktif hale getirmeniz için Medianova Panel üzerinden ‘Yes’ butonuna tıklayınız.

 

3)X-Frame Options

X-Frame Options, İnternet kullanıcılarına farkında olmadan tıklama yaptırmak için kullandığı gizli saldırılarından biri olan clickjacking tekniği , X-Frame Options Header ile ilgilidir.

Clickjacking saldırganları, iframe penceresine tıklama sağlamak için kullanıcılara çeşitli saldırı yöntemleri uygulayabilirler.

Peki X-Frame Options’ı neden aktifleştirmeliyim?

Clickjacking saldırılarının önüne geçmek gerekir. Bu önlem işlemi esnasında iframe’lerin yüklenmesine izin vermemek için aktifleştirmeliyiz.

Ayrıca X-Frame-Options header özelliğini destekleyen tarayıcılar content içerisinde filtreleme sayesinde XSS payload’larını açığa çıkarabilirler.

Aşağıda belirtilen görselde X-Frame-Options özelliğinin hangi tarayıcılar üzerinden desteklendiği belirtilmektedir.

3.1)Trusted Domains

Same Origin : Frame/iframe’lere sadece sitenin origin’inden gelmesine izin veriyor.

Deny: Tüm domain’lere sitenin içeriklerini iframe kullanarak gömülmesini engelliyor.

Allow – From : Bu özellik sadece  özel belirlenmiş URL’lerden (örneğin; https://example.com) sadece frame yapılmasına izin veriyor.

4)X-Content Type Options

Chrome ve IE tarayıcıları tarafından desteklenen X-Content Type Options, web server üzerinde MIME Type Sniffing yaparak içeriğin dosya tipinin analizini yapan security header’dır.

İçerikler, veri alış-verişi yaparken response header HTTP protokolü üzerinden gerçekleşir.

Neden bu header’ı kullanmalıyım?

Örneğin; bir tarayıcı virüs içeren bir index.html adlı bir dosyayı indirebilir.

X-Content Type Options, herhangi bir içeriğin kaynağının hangi dosya tipi olduğunu dosya türünün bitlerini okuyarak tahmin eder ve tarayıcının bunu doğru anlamasını sağlar. Böylece web sitenizi XSS ve Sql Injection saldırılardan koruyacaktır.

X-Content Type Options header’ınızı aktifleştirmek için Medianova Panel üzerinden ‘Yes’ butonuna basınız.

Medianova Farkı ile Security Header Teknolojisini yakalayın!

Medianova’nın Security Header özelliği ile daha güvenli web sitesi hizmetine geçmek isterseniz hemen bizimle iletişime geçin.

 

You may be interested

Medianova Bulut Depolama Geçidi ile buluttaki verilerinize kolayca erişin!
Uncategorized
26 kişi okudu
Uncategorized
26 kişi okudu

Medianova Bulut Depolama Geçidi ile buluttaki verilerinize kolayca erişin!

Hakan KISSABOYLU - Mart 19, 2019

Büyük miktarda dosya boyutlarına sahip bir firmaysanız veri depolama alanı satın almaya ihtiyacınız var demektir. Bu verilerin yedekli ve güvenli olduğuna da emin olmanız gerekmektedir. Ayrıca bu…

Uncategorized
55 kişi okudu

Geleceğin Akıllı Uygulamalarının Yapı Taşı – Uçta Hesaplama (Edge Computing)

Nadia Benslimane - Mart 6, 2019

Geleceğin Akıllı Uygulamalarının Yapı Taşı - Uçta Hesaplama (Edge Computing) Bilişim teknolojileri her geçen gün insan hayatının her yönünü değiştiriyor. Bu bağlamda Uçta Hesaplama’nın Nesnelerin İnterneti (Internet…

OTT Trendi Büyümeye Devam Ediyor
CDN
134 kişi okudu
CDN
134 kişi okudu

OTT Trendi Büyümeye Devam Ediyor

Jiyan Aytek - Şubat 6, 2019

İnternetin olmadığı zamanlarda insanlar bilgiye genellikle televizyon ve gazetelerden ulaşmaktaydı. Dizi, film ve belgesel demek, büyük oranda televizyon demekti. İnternet zamanla evlerimize hatta telefonlarımıza girdikçe insanlar bilgiye…

Leave a Comment

Your email address will not be published.

Most from this category

HAR (HTTP Archive Format) Nedir?
CDN
133 kişi okudu
133 kişi okudu

HAR (HTTP Archive Format) Nedir?

Jiyan Aytek - Ocak 25, 2019
Medianova ISO Standartlarınca Tescillendi!
CDN
140 kişi okudu
140 kişi okudu

Medianova ISO Standartlarınca Tescillendi!

Hakan KISSABOYLU - Ocak 23, 2019