Security Header ile Web Siteniz Daha Güvenli

HTTP Security Header Nedir?

HTTP Security Header, web sitenizin içeriğini tarayıcılara bildirmek ve tarayıcıların nasıl davranacağını belirtmek için kullanılır. Tarayıcımızın adres çubuğuna bir URL girdiğimizde HTTP response ve request bilgileri içeren headerlar devreye girer. HTTP Security Header bilgilerini response header’ın içerisinde bulundurur.

Son kullanıcıların web sitenize Man-in-the-Middle Attack gibi saldırılardan korunarak güvenli bir şekilde girmelerini istiyorsanız web sitenize HTTP yerine HTTPS ile ulaştıklarından emin olmanız gerekir. HTTP Security Header’da bulunan HTTP Strict Transport Security (HSTS) alanını ayarlayarak HTTPS kullanımını aktifleştirebilirsiniz.

Örneğin www.medianova.com web sitesine girmek istediğimizde tarayıcımız Medianova web sunucusuna bir request yollar. Sunucu da buna uygun response’u yollar. Altta, örnek bir HTTP response(cevap) header bilgileri gösterilmiştir.

Medianova Panel üzerinden Security Header özelliğimizi aktifleştirmek için aşağıda belirtilen görseldeki gibi ‘Yes’ butonuna basabiliriz.

HTTP Security Header’da HTTP Strict Transport Security, X-XSS Protection, X-Frame Options ve X-Content Type Options alanları bulunur.

Şimdi bu alanları sırayla inceleyelim.

1)HTTP Strict Transport Security (HSTS)

HSTS, bir kullanıcının web tarayıcısı ile yaptığı HTTP request’ini otomatik olarak HTTPS’e dönüştürür. Böylece request için HTTP kullanılmasını engeller. Örneğin, HSTS header’ı aktif olan bir web sitesinde siz http://www.medianova.com URL’sini adres çubuğuna girdiğinizde tarayıcınız sizi otomatik olarak https://www.medianova.com adresine yönlendirir.

Aşağıdaki görselde Strict-Transport Security Header bilgisi görülmektedir.

Hangi firmaların HSTS kullandığını https://hstspreload.org/ adresinden öğrenebilirsiniz.

Aşağıdaki görselde Firefox, Chrome ve Safari vb. tarayıcıların HSTS’i destekleyen (yeşil) ve desteklemeyen (kırmızı) sürümleri gösterilmiştir.

HSTS Konfigürasyonu

HSTS ile ilgili parametrelere değinelim.

1.1)Max Age : Sadece HTTPS üzerinden alınan istekler için belirtilen süreyi belirtir.

1.2)Include Subdomains :

Ayarların Sub-domainler için de geçerli olduğunu belirten parametredir.

Medianova Panel üzerinde aktifleştirme işlemlerini Security Header kısmından inceleyebilirsiniz.

Tüm sub-domainlerin HSTS üzerinde default olarak gelmesini istiyorsanız include sub-domainin aktif olması içinYes’ butonunu seçiniz.

1.3)Preload :

HSTS domainleri, tarayıcılar tarafından preload listesine koyulur. Bu sayede ilk request’te bile HTTPS olarak gönderilir.

Preload özelliğinin aktif olması için ‘Yes’ butonunu seçiniz.

2)X-XSS PROTECTION

Web sitenizi XSS(Cross-Site-Scripting) saldırılarından korumak için sunucu tarafında bazı header bilgileri response header’a eklenir

Bu header, Internet Explorer 8+ , Chrome, Opera ve Safari tarayıcılarında desteklenen önlem yöntemidir.

X-XSS Protection , Response Header üzerinden bu şekilde gelmektedir.

X-XSS Protection özelliğini aktif hale getirmeniz için Medianova Panel üzerinden ‘Yes’ butonuna tıklayınız.

 

3)X-Frame Options

X-Frame Options, İnternet kullanıcılarına farkında olmadan tıklama yaptırmak için kullandığı gizli saldırılarından biri olan clickjacking tekniği , X-Frame Options Header ile ilgilidir.

Clickjacking saldırganları, iframe penceresine tıklama sağlamak için kullanıcılara çeşitli saldırı yöntemleri uygulayabilirler.

Peki X-Frame Options’ı neden aktifleştirmeliyim?

Clickjacking saldırılarının önüne geçmek gerekir. Bu önlem işlemi esnasında iframe’lerin yüklenmesine izin vermemek için aktifleştirmeliyiz.

Ayrıca X-Frame-Options header özelliğini destekleyen tarayıcılar content içerisinde filtreleme sayesinde XSS payload’larını açığa çıkarabilirler.

Aşağıda belirtilen görselde X-Frame-Options özelliğinin hangi tarayıcılar üzerinden desteklendiği belirtilmektedir.

3.1)Trusted Domains

Same Origin : Frame/iframe’lere sadece sitenin origin’inden gelmesine izin veriyor.

Deny: Tüm domain’lere sitenin içeriklerini iframe kullanarak gömülmesini engelliyor.

Allow – From : Bu özellik sadece  özel belirlenmiş URL’lerden (örneğin; https://example.com) sadece frame yapılmasına izin veriyor.

4)X-Content Type Options

Chrome ve IE tarayıcıları tarafından desteklenen X-Content Type Options, web server üzerinde MIME Type Sniffing yaparak içeriğin dosya tipinin analizini yapan security header’dır.

İçerikler, veri alış-verişi yaparken response header HTTP protokolü üzerinden gerçekleşir.

Neden bu header’ı kullanmalıyım?

Örneğin; bir tarayıcı virüs içeren bir index.html adlı bir dosyayı indirebilir.

X-Content Type Options, herhangi bir içeriğin kaynağının hangi dosya tipi olduğunu dosya türünün bitlerini okuyarak tahmin eder ve tarayıcının bunu doğru anlamasını sağlar. Böylece web sitenizi XSS ve Sql Injection saldırılardan koruyacaktır.

X-Content Type Options header’ınızı aktifleştirmek için Medianova Panel üzerinden ‘Yes’ butonuna basınız.

Medianova Farkı ile Security Header Teknolojisini yakalayın!

Medianova’nın Security Header özelliği ile daha güvenli web sitesi hizmetine geçmek isterseniz hemen bizimle iletişime geçin.

 

You may be interested

İmaj Optimizasyonu Nedir ve Web Sitelerinin Daha Hızlı Yüklenmesini Nasıl Sağlar?
Uncategorized
68 kişi okudu
Uncategorized
68 kişi okudu

İmaj Optimizasyonu Nedir ve Web Sitelerinin Daha Hızlı Yüklenmesini Nasıl Sağlar?

omer - Ekim 25, 2019

Günümüzde her önde gelen teknoloji şirketi, Amazon, eBay, Facebook ve Google da dahil olmak üzere imaj optimizasyonunu ciddiye alıyor. Sizce neden? Çünkü imaj optimizasyonunun sayfa yükleme hızına…

Medianova’nın En Yeni CDN Teknolojisi: Virtualized CDN (vCDN)
Uncategorized
76 kişi okudu
Uncategorized
76 kişi okudu

Medianova’nın En Yeni CDN Teknolojisi: Virtualized CDN (vCDN)

omer - Ekim 21, 2019

vCDN (sanallaştırılmış CDN), konteynerize fonksiyonlarıyla geleneksel CDN’lere kıyasla yüksek performans ve çevik hizmetler sunan bir platformdur. vCDN’i daha iyi anlamak için öncelikle CDN ile ilgili kavramları hatırlayalım.…

Medianova EdgeCache™ Teknolojisi Nedir ve Nasıl Çalışır?
Uncategorized
95 kişi okudu
Uncategorized
95 kişi okudu

Medianova EdgeCache™ Teknolojisi Nedir ve Nasıl Çalışır?

omer - Ekim 8, 2019

Medianova EdgeCache™ Teknolojisi Nedir ve Nasıl Çalışır? Sürekli daha etkin bir performans ve kaynak kullanımı için uğraştığımız için, yararlanabileceğimiz yeni teknolojileri durmadan araştırıyoruz. Bu kez, markamız olarak…

Most from this category