Security Header ile Web Siteniz Daha Güvenli

HTTP Security Header Nedir?

HTTP Security Header, web sitenizin içeriğini tarayıcılara bildirmek ve tarayıcıların nasıl davranacağını belirtmek için kullanılır. Tarayıcımızın adres çubuğuna bir URL girdiğimizde HTTP response ve request bilgileri içeren headerlar devreye girer. HTTP Security Header bilgilerini response header’ın içerisinde bulundurur.

Son kullanıcıların web sitenize Man-in-the-Middle Attack gibi saldırılardan korunarak güvenli bir şekilde girmelerini istiyorsanız web sitenize HTTP yerine HTTPS ile ulaştıklarından emin olmanız gerekir. HTTP Security Header’da bulunan HTTP Strict Transport Security (HSTS) alanını ayarlayarak HTTPS kullanımını aktifleştirebilirsiniz.

Örneğin www.medianova.com web sitesine girmek istediğimizde tarayıcımız Medianova web sunucusuna bir request yollar. Sunucu da buna uygun response’u yollar. Altta, örnek bir HTTP response(cevap) header bilgileri gösterilmiştir.

Medianova Panel üzerinden Security Header özelliğimizi aktifleştirmek için aşağıda belirtilen görseldeki gibi ‘Yes’ butonuna basabiliriz.

HTTP Security Header’da HTTP Strict Transport Security, X-XSS Protection, X-Frame Options ve X-Content Type Options alanları bulunur.

Şimdi bu alanları sırayla inceleyelim.

1)HTTP Strict Transport Security (HSTS)

HSTS, bir kullanıcının web tarayıcısı ile yaptığı HTTP request’ini otomatik olarak HTTPS’e dönüştürür. Böylece request için HTTP kullanılmasını engeller. Örneğin, HSTS header’ı aktif olan bir web sitesinde siz http://www.medianova.com URL’sini adres çubuğuna girdiğinizde tarayıcınız sizi otomatik olarak https://www.medianova.com adresine yönlendirir.

Aşağıdaki görselde Strict-Transport Security Header bilgisi görülmektedir.

Hangi firmaların HSTS kullandığını https://hstspreload.org/ adresinden öğrenebilirsiniz.

Aşağıdaki görselde Firefox, Chrome ve Safari vb. tarayıcıların HSTS’i destekleyen (yeşil) ve desteklemeyen (kırmızı) sürümleri gösterilmiştir.

HSTS Konfigürasyonu

HSTS ile ilgili parametrelere değinelim.

1.1)Max Age : Sadece HTTPS üzerinden alınan istekler için belirtilen süreyi belirtir.

1.2)Include Subdomains :

Ayarların Sub-domainler için de geçerli olduğunu belirten parametredir.

Medianova Panel üzerinde aktifleştirme işlemlerini Security Header kısmından inceleyebilirsiniz.

Tüm sub-domainlerin HSTS üzerinde default olarak gelmesini istiyorsanız include sub-domainin aktif olması içinYes’ butonunu seçiniz.

1.3)Preload :

HSTS domainleri, tarayıcılar tarafından preload listesine koyulur. Bu sayede ilk request’te bile HTTPS olarak gönderilir.

Preload özelliğinin aktif olması için ‘Yes’ butonunu seçiniz.

2)X-XSS PROTECTION

Web sitenizi XSS(Cross-Site-Scripting) saldırılarından korumak için sunucu tarafında bazı header bilgileri response header’a eklenir

Bu header, Internet Explorer 8+ , Chrome, Opera ve Safari tarayıcılarında desteklenen önlem yöntemidir.

X-XSS Protection , Response Header üzerinden bu şekilde gelmektedir.

X-XSS Protection özelliğini aktif hale getirmeniz için Medianova Panel üzerinden ‘Yes’ butonuna tıklayınız.

 

3)X-Frame Options

X-Frame Options, İnternet kullanıcılarına farkında olmadan tıklama yaptırmak için kullandığı gizli saldırılarından biri olan clickjacking tekniği , X-Frame Options Header ile ilgilidir.

Clickjacking saldırganları, iframe penceresine tıklama sağlamak için kullanıcılara çeşitli saldırı yöntemleri uygulayabilirler.

Peki X-Frame Options’ı neden aktifleştirmeliyim?

Clickjacking saldırılarının önüne geçmek gerekir. Bu önlem işlemi esnasında iframe’lerin yüklenmesine izin vermemek için aktifleştirmeliyiz.

Ayrıca X-Frame-Options header özelliğini destekleyen tarayıcılar content içerisinde filtreleme sayesinde XSS payload’larını açığa çıkarabilirler.

Aşağıda belirtilen görselde X-Frame-Options özelliğinin hangi tarayıcılar üzerinden desteklendiği belirtilmektedir.

3.1)Trusted Domains

Same Origin : Frame/iframe’lere sadece sitenin origin’inden gelmesine izin veriyor.

Deny: Tüm domain’lere sitenin içeriklerini iframe kullanarak gömülmesini engelliyor.

Allow – From : Bu özellik sadece  özel belirlenmiş URL’lerden (örneğin; https://example.com) sadece frame yapılmasına izin veriyor.

4)X-Content Type Options

Chrome ve IE tarayıcıları tarafından desteklenen X-Content Type Options, web server üzerinde MIME Type Sniffing yaparak içeriğin dosya tipinin analizini yapan security header’dır.

İçerikler, veri alış-verişi yaparken response header HTTP protokolü üzerinden gerçekleşir.

Neden bu header’ı kullanmalıyım?

Örneğin; bir tarayıcı virüs içeren bir index.html adlı bir dosyayı indirebilir.

X-Content Type Options, herhangi bir içeriğin kaynağının hangi dosya tipi olduğunu dosya türünün bitlerini okuyarak tahmin eder ve tarayıcının bunu doğru anlamasını sağlar. Böylece web sitenizi XSS ve Sql Injection saldırılardan koruyacaktır.

X-Content Type Options header’ınızı aktifleştirmek için Medianova Panel üzerinden ‘Yes’ butonuna basınız.

Medianova Farkı ile Security Header Teknolojisini yakalayın!

Medianova’nın Security Header özelliği ile daha güvenli web sitesi hizmetine geçmek isterseniz hemen bizimle iletişime geçin.

 

You may be interested

TLS 1.3 Nedir ve Nasıl Çalışır?
Site Hızlandırma
223 kişi okudu
Site Hızlandırma
223 kişi okudu

TLS 1.3 Nedir ve Nasıl Çalışır?

Jiyan Aytek - November 29, 2018

TLS 1.3 protokolü ile siteniz hiç olmadığı kadar hızlı ve güvenli.. Veri şifreleme günümüze kadar hız ve performans yönünden beklenilene cevap verememekteydi. TLS 1.3 ile önceki versiyonlarına…

HTTP/2 PUSH ile Yüksek Performans
CDN
187 kişi okudu
CDN
187 kişi okudu

HTTP/2 PUSH ile Yüksek Performans

Jiyan Aytek - November 16, 2018

Medianova’nın yüksek performans ve hıza sahip yeni özelliği HTTP/2 PUSH ile tanıştınız mı? HTTP/2 PUSH (HTTP/2 Server Push) HTTP/2 Push, HTTP/2 protokolünde sunucunun kaynaklarını istemci iletişime geçer…

STOOK : Amazon S3’e Alternatif Yerli Object Storage
Teknoloji
830 kişi okudu
Teknoloji
830 kişi okudu

STOOK : Amazon S3’e Alternatif Yerli Object Storage

Jiyan Aytek - August 16, 2018

Medianova’nın yeni hizmeti olan Stook ile verilerinizi kolayca depolayabileceğinizi biliyor muydunuz? Stook bulut tabanlı bir Object Storage (nesne depolama) hizmetidir. Stook başlangıçta mevcut CDN ürünümüzde inhouse olarak kullandığımız bir…

Leave a Comment

Your email address will not be published.

Most from this category

Google BBR ile Web Siteniz 20 Kat Hızlı
CDN
793 kişi okudu
793 kişi okudu

Google BBR ile Web Siteniz 20 Kat Hızlı

Jiyan Aytek - August 14, 2018
594 kişi okudu

Veri İthalatına Son

ahmetyilmaz - April 27, 2018
Dijitalde ButİK Departman
Kurumsal
1059 kişi okudu
1059 kişi okudu

Dijitalde ButİK Departman

Medianova - January 17, 2018