Security Header ile Web Siteniz Daha Güvenli

HTTP Security Header Nedir?

HTTP Security Header, web sitenizin içeriğini tarayıcılara bildirmek ve tarayıcıların nasıl davranacağını belirtmek için kullanılır. Tarayıcımızın adres çubuğuna bir URL girdiğimizde HTTP response ve request bilgileri içeren headerlar devreye girer. HTTP Security Header bilgilerini response header’ın içerisinde bulundurur.

Son kullanıcıların web sitenize Man-in-the-Middle Attack gibi saldırılardan korunarak güvenli bir şekilde girmelerini istiyorsanız web sitenize HTTP yerine HTTPS ile ulaştıklarından emin olmanız gerekir. HTTP Security Header’da bulunan HTTP Strict Transport Security (HSTS) alanını ayarlayarak HTTPS kullanımını aktifleştirebilirsiniz.

Örneğin www.medianova.com web sitesine girmek istediğimizde tarayıcımız Medianova web sunucusuna bir request yollar. Sunucu da buna uygun response’u yollar. Altta, örnek bir HTTP response(cevap) header bilgileri gösterilmiştir.

Medianova Panel üzerinden Security Header özelliğimizi aktifleştirmek için aşağıda belirtilen görseldeki gibi ‘Yes’ butonuna basabiliriz.

HTTP Security Header’da HTTP Strict Transport Security, X-XSS Protection, X-Frame Options ve X-Content Type Options alanları bulunur.

Şimdi bu alanları sırayla inceleyelim.

1)HTTP Strict Transport Security (HSTS)

HSTS, bir kullanıcının web tarayıcısı ile yaptığı HTTP request’ini otomatik olarak HTTPS’e dönüştürür. Böylece request için HTTP kullanılmasını engeller. Örneğin, HSTS header’ı aktif olan bir web sitesinde siz https://www.medianova.com URL’sini adres çubuğuna girdiğinizde tarayıcınız sizi otomatik olarak https://www.medianova.com adresine yönlendirir.

Aşağıdaki görselde Strict-Transport Security Header bilgisi görülmektedir.

Hangi firmaların HSTS kullandığını https://hstspreload.org/ adresinden öğrenebilirsiniz.

Aşağıdaki görselde Firefox, Chrome ve Safari vb. tarayıcıların HSTS’i destekleyen (yeşil) ve desteklemeyen (kırmızı) sürümleri gösterilmiştir.

HSTS Konfigürasyonu

HSTS ile ilgili parametrelere değinelim.

1.1)Max Age : Sadece HTTPS üzerinden alınan istekler için belirtilen süreyi belirtir.

1.2)Include Subdomains :

Ayarların Sub-domainler için de geçerli olduğunu belirten parametredir.

Medianova Panel üzerinde aktifleştirme işlemlerini Security Header kısmından inceleyebilirsiniz.

Tüm sub-domainlerin HSTS üzerinde default olarak gelmesini istiyorsanız include sub-domainin aktif olması için ‘Yes’ butonunu seçiniz.

1.3)Preload :

HSTS domainleri, tarayıcılar tarafından preload listesine koyulur. Bu sayede ilk request’te bile HTTPS olarak gönderilir.

Preload özelliğinin aktif olması için ‘Yes’ butonunu seçiniz.

2)X-XSS PROTECTION

Web sitenizi XSS(Cross-Site-Scripting) saldırılarından korumak için sunucu tarafında bazı header bilgileri response header’a eklenir

Bu header, Internet Explorer 8+ , Chrome, Opera ve Safari tarayıcılarında desteklenen önlem yöntemidir.

X-XSS Protection , Response Header üzerinden bu şekilde gelmektedir.

X-XSS Protection özelliğini aktif hale getirmeniz için Medianova Panel üzerinden ‘Yes’ butonuna tıklayınız.

3)X-Frame Options

X-Frame Options, İnternet kullanıcılarına farkında olmadan tıklama yaptırmak için kullandığı gizli saldırılarından biri olan clickjacking tekniği , X-Frame Options Header ile ilgilidir.

Clickjacking saldırganları, iframe penceresine tıklama sağlamak için kullanıcılara çeşitli saldırı yöntemleri uygulayabilirler.

Peki X-Frame Options’ı neden aktifleştirmeliyim?

Clickjacking saldırılarının önüne geçmek gerekir. Bu önlem işlemi esnasında iframe’lerin yüklenmesine izin vermemek için aktifleştirmeliyiz.

Ayrıca X-Frame-Options header özelliğini destekleyen tarayıcılar content içerisinde filtreleme sayesinde XSS payload’larını açığa çıkarabilirler.

Aşağıda belirtilen görselde X-Frame-Options özelliğinin hangi tarayıcılar üzerinden desteklendiği belirtilmektedir.

3.1)Trusted Domains

Same Origin : Frame/iframe’lere sadece sitenin origin’inden gelmesine izin veriyor.

Deny: Tüm domain’lere sitenin içeriklerini iframe kullanarak gömülmesini engelliyor.

Allow – From : Bu özellik sadece özel belirlenmiş URL’lerden (örneğin; https://example.com) sadece frame yapılmasına izin veriyor.

4)X-Content Type Options

Chrome ve IE tarayıcıları tarafından desteklenen X-Content Type Options, web server üzerinde MIME Type Sniffing yaparak içeriğin dosya tipinin analizini yapan security header’dır.

İçerikler, veri alış-verişi yaparken response header HTTP protokolü üzerinden gerçekleşir.

Neden bu header’ı kullanmalıyım?

Örneğin; bir tarayıcı virüs içeren bir index.html adlı bir dosyayı indirebilir.

X-Content Type Options, herhangi bir içeriğin kaynağının hangi dosya tipi olduğunu dosya türünün bitlerini okuyarak tahmin eder ve tarayıcının bunu doğru anlamasını sağlar. Böylece web sitenizi XSS ve Sql Injection saldırılardan koruyacaktır.

X-Content Type Options header’ınızı aktifleştirmek için Medianova Panel üzerinden ‘Yes’ butonuna basınız.

Medianova Farkı ile Security Header Teknolojisini yakalayın!

Medianova’nın Security Header özelliği ile daha güvenli web sitesi hizmetine geçmek isterseniz hemen bizimle iletişime geçin.

Kasım ayında Medianova platformlarını 45 milyon kişi kullandıAralık 7, 2023
Canlı Yayını 10 İpucu ile GeliştirinNisan 15, 2022
Destek: Medianova’nın Yapı TaşıKasım 3, 2021
Web Application FirewallEylül 30, 2021
HTTP Live Streaming (HLS)Aralık 21, 2020