0 Shares 2860 Views

Security Header ile Web Siteniz Daha Güvenli

HTTP Security Header Nedir?

HTTP Security Header, web sitenizin içeriğini tarayıcılara bildirmek ve tarayıcıların nasıl davranacağını belirtmek için kullanılır. Tarayıcımızın adres çubuğuna bir URL girdiğimizde HTTP response ve request bilgileri içeren headerlar devreye girer. HTTP Security Header bilgilerini response header’ın içerisinde bulundurur.

Son kullanıcıların web sitenize Man-in-the-Middle Attack gibi saldırılardan korunarak güvenli bir şekilde girmelerini istiyorsanız web sitenize HTTP yerine HTTPS ile ulaştıklarından emin olmanız gerekir. HTTP Security Header’da bulunan HTTP Strict Transport Security (HSTS) alanını ayarlayarak HTTPS kullanımını aktifleştirebilirsiniz.

Örneğin www.medianova.com web sitesine girmek istediğimizde tarayıcımız Medianova web sunucusuna bir request yollar. Sunucu da buna uygun response’u yollar. Altta, örnek bir HTTP response(cevap) header bilgileri gösterilmiştir.

Medianova Panel üzerinden Security Header özelliğimizi aktifleştirmek için aşağıda belirtilen görseldeki gibi ‘Yes’ butonuna basabiliriz.

HTTP Security Header’da HTTP Strict Transport Security, X-XSS Protection, X-Frame Options ve X-Content Type Options alanları bulunur.

Şimdi bu alanları sırayla inceleyelim.

1)HTTP Strict Transport Security (HSTS)

HSTS, bir kullanıcının web tarayıcısı ile yaptığı HTTP request’ini otomatik olarak HTTPS’e dönüştürür. Böylece request için HTTP kullanılmasını engeller. Örneğin, HSTS header’ı aktif olan bir web sitesinde siz https://www.medianova.com URL’sini adres çubuğuna girdiğinizde tarayıcınız sizi otomatik olarak https://www.medianova.com adresine yönlendirir.

Aşağıdaki görselde Strict-Transport Security Header bilgisi görülmektedir.

Hangi firmaların HSTS kullandığını https://hstspreload.org/ adresinden öğrenebilirsiniz.

Aşağıdaki görselde Firefox, Chrome ve Safari vb. tarayıcıların HSTS’i destekleyen (yeşil) ve desteklemeyen (kırmızı) sürümleri gösterilmiştir.

HSTS Konfigürasyonu

HSTS ile ilgili parametrelere değinelim.

1.1)Max Age : Sadece HTTPS üzerinden alınan istekler için belirtilen süreyi belirtir.

1.2)Include Subdomains :

Ayarların Sub-domainler için de geçerli olduğunu belirten parametredir.

Medianova Panel üzerinde aktifleştirme işlemlerini Security Header kısmından inceleyebilirsiniz.

Tüm sub-domainlerin HSTS üzerinde default olarak gelmesini istiyorsanız include sub-domainin aktif olması içinYes’ butonunu seçiniz.

1.3)Preload :

HSTS domainleri, tarayıcılar tarafından preload listesine koyulur. Bu sayede ilk request’te bile HTTPS olarak gönderilir.

Preload özelliğinin aktif olması için ‘Yes’ butonunu seçiniz.

2)X-XSS PROTECTION

Web sitenizi XSS(Cross-Site-Scripting) saldırılarından korumak için sunucu tarafında bazı header bilgileri response header’a eklenir

Bu header, Internet Explorer 8+ , Chrome, Opera ve Safari tarayıcılarında desteklenen önlem yöntemidir.

X-XSS Protection , Response Header üzerinden bu şekilde gelmektedir.

X-XSS Protection özelliğini aktif hale getirmeniz için Medianova Panel üzerinden ‘Yes’ butonuna tıklayınız.

 

3)X-Frame Options

X-Frame Options, İnternet kullanıcılarına farkında olmadan tıklama yaptırmak için kullandığı gizli saldırılarından biri olan clickjacking tekniği , X-Frame Options Header ile ilgilidir.

Clickjacking saldırganları, iframe penceresine tıklama sağlamak için kullanıcılara çeşitli saldırı yöntemleri uygulayabilirler.

Peki X-Frame Options’ı neden aktifleştirmeliyim?

Clickjacking saldırılarının önüne geçmek gerekir. Bu önlem işlemi esnasında iframe’lerin yüklenmesine izin vermemek için aktifleştirmeliyiz.

Ayrıca X-Frame-Options header özelliğini destekleyen tarayıcılar content içerisinde filtreleme sayesinde XSS payload’larını açığa çıkarabilirler.

Aşağıda belirtilen görselde X-Frame-Options özelliğinin hangi tarayıcılar üzerinden desteklendiği belirtilmektedir.

3.1)Trusted Domains

Same Origin : Frame/iframe’lere sadece sitenin origin’inden gelmesine izin veriyor.

Deny: Tüm domain’lere sitenin içeriklerini iframe kullanarak gömülmesini engelliyor.

Allow – From : Bu özellik sadece  özel belirlenmiş URL’lerden (örneğin; https://example.com) sadece frame yapılmasına izin veriyor.

4)X-Content Type Options

Chrome ve IE tarayıcıları tarafından desteklenen X-Content Type Options, web server üzerinde MIME Type Sniffing yaparak içeriğin dosya tipinin analizini yapan security header’dır.

İçerikler, veri alış-verişi yaparken response header HTTP protokolü üzerinden gerçekleşir.

Neden bu header’ı kullanmalıyım?

Örneğin; bir tarayıcı virüs içeren bir index.html adlı bir dosyayı indirebilir.

X-Content Type Options, herhangi bir içeriğin kaynağının hangi dosya tipi olduğunu dosya türünün bitlerini okuyarak tahmin eder ve tarayıcının bunu doğru anlamasını sağlar. Böylece web sitenizi XSS ve Sql Injection saldırılardan koruyacaktır.

X-Content Type Options header’ınızı aktifleştirmek için Medianova Panel üzerinden ‘Yes’ butonuna basınız.

Medianova Farkı ile Security Header Teknolojisini yakalayın!

Medianova’nın Security Header özelliği ile daha güvenli web sitesi hizmetine geçmek isterseniz hemen bizimle iletişime geçin.

 

You may be interested

Temel CDN (Content Delivery Network) Rehberi
CDN
1675 kişi okudu
CDN
1675 kişi okudu

Temel CDN (Content Delivery Network) Rehberi

Mujde Karakaya - November 3, 2020

Temel CDN Rehberi  - CDN Hakkında Her Şey Muhtemelen CDN’in (Content Delivery Network - İçerik Dağıtım Ağı) neyin kısaltması olduğunu biliyorsunuzdur. Tam olarak ne anlama geldiğini de…

HTTP Live Streaming (HLS)
Canlı Yayın
1038 kişi okudu
Canlı Yayın
1038 kişi okudu

HTTP Live Streaming (HLS)

Emre Emanet - December 21, 2020

HLS, Apple tarafından kendi ürünlerinde kullanmak üzere oluşturduğu video streaming (akış) protokolüdür. Ancak HLS zaman geçtikçe popülerleşti ve Android cihazlarda, akıllı televizyonlarda, oyun konsolları gibi birçok platform…

Web Sitesi Sıkıştırma Algoritmalarının Karşılaştırılması
Site Hızlandırma
603 kişi okudu
Site Hızlandırma
603 kişi okudu

Web Sitesi Sıkıştırma Algoritmalarının Karşılaştırılması

Emre Emanet - December 9, 2020

Tüketiciler, dijital içeriklere ve hizmetlere erişmek için giderek daha fazla web uygulamalarını kullanmayı tercih eder hale geldiler. Bir Google araştırmasına göre, insanların % 40'ı yüklenmesi 3 saniyeden…

Eğitim? Evet lütfen!
HR
280 kişi okudu
HR
280 kişi okudu

Eğitim? Evet lütfen!

Nurdan Altunköse - December 7, 2020

Şirketimin eğitim ve gelişimime önem vermesini istiyorum ama ne kadar faydalanabiliyorum? Çalışanların şirketlerinden beklentileri arasında yaygın bir şekilde yer alan eğitim ve gelişim fırsatları artık birçok şirketin…

Most from this category