Securityheaders.io: How Safe is Your Web Space?

Securityheaders.io: ¿Qué tan seguro es su espacio web?

Los propietarios de sitios web a menudo descuidan la seguridad. Se cuida todo, se implementan nuevas funciones y se crea un diseño cuidado. Entonces, un día, su sitio web es pirateado. Para prevenir este desagradable escenario, es necesaria una estrategia y algo de esfuerzo. Si tiene su propio servidor, esa es solo otra razón para cuidar la seguridad. En muchos casos, esto es bastante simple. Para ayudarlo a proteger su sitio web, ahora le presentaré la herramienta en línea encabezadosdeseguridad.ioque le muestra las debilidades de su servidor o espacio compartido, y brinda consejos sobre cómo eliminarlas.

Securityheaders.io – Análisis de los encabezados HTTP

encabezadosdeseguridad.io

Securityheaders.io es el nombre del servicio en línea que puede determinar qué tan seguro es su servidor, a juzgar por los encabezados de respuesta HTTP enviados. Por supuesto, hay muchos servicios que pueden analizar los encabezados de respuesta HTTP. Pero lo único de encabezados de seguridad es su sistema de calificación, en el que ordena los resultados. El sistema ordena los resultados en un área de A a F. Aquí; A es un servidor perfectamente protegido mientras que F se da para la protección de indigentes. El servicio y su operador Scott Helme quieren contribuir a una mayor seguridad en Internet. No solo analiza los encabezados de respuesta, sino que también brinda consejos sólidos sobre cómo eliminar los problemas de seguridad. Enviar los encabezados de respuesta HTTP correctos conduce a una seguridad mucho mayor y, por lo tanto, debe analizarse. Esto lleva relativamente poco tiempo. Sin embargo, el aumento potencial de la seguridad es tremendo.

Muchos servidores son potencialmente inseguros

Si juega un poco con la herramienta en línea, notará rápidamente que la mayoría de los servidores probados están potencialmente en peligro. Independientemente del dominio que ingresé y verifiqué, el resultado mostrado siempre fue F. Incluso para mis propios sitios web. Hasta ahora asumí que un servidor administrado o un alojamiento administrado de WordPress era seguro y que no necesitabas cuidar esa área. Ahora sé que administrado no significa automáticamente seguro. Los sistemas de alojamiento compartido no son más seguros, ya que también obtuve una F allí.

un mal resultado en securityheaders

Una seguridad potencialmente deficiente no solo se marca con una F, sino que también se colorea en rojo para visualizar la brecha de seguridad. Los servidores muy seguros están coloreados en verde, como se muestra en este escaneo del sitio web de securityheaders.

un buen resultado en securityheaders

Buenas explicaciones de los resultados y consejos sobre mejoras

Cada resultado de escaneo (malo) muestra exactamente qué encabezados de respuesta HTTP faltan. Una breve descripción le indica por qué estos encabezados son necesarios y qué puede suceder si faltan.

Die Erklärungen zu den fehlenden Cabecera de respuestaEncabezados de respuesta faltantes de mi sitio web

Hay enlaces para cada resultado, que proporcionan artículos sustanciales adicionales sobre cada una de las áreas. De esta manera, puede aprender mucho sobre los encabezados respectivos. Después, sabrá exactamente qué hacer y, sobre todo, por qué debe hacerlo. Detrás del encabezado que falta »Content-Security-Police«, encontrará el artículo «Política de seguridad de contenido: una introducción.” Además, hay buenas explicaciones sobre esta área en otros idiomas.

Cómo los encabezados de respuesta HTTP aumentan la seguridad de nuestro servidor

El »Content-Security-Police-Header« es una buena protección contra el problema llamado secuencias de comandos entre sitios. Los llamados XSS o ataques de secuencias de comandos entre sitios son algunas de las mayores amenazas de seguridad para las aplicaciones web. En este caso, se requiere protección contra el código introducido en el sitio web desde el exterior. El encabezado »Content-Security-Police« le permite determinar a qué secuencias de comandos se puede acceder desde el exterior. La configuración predeterminada solo permite la ejecución de scripts que se encuentran en el servidor local. Además, defina todos los scripts a los que se debe acceder. Google Adsense y Google Analytics Code, por ejemplo. Todos los demás códigos, externos, se ignoran y, por lo tanto, no se ejecutan. Este es el caso de imágenes, marcos y videos también. Es decir, todas las cosas que no están en su propio servidor. Establecer las excepciones es tedioso. Sin embargo, será recompensado con un tremendo aumento en la seguridad.

Otros encabezados de respuesta

El escaneo de mi sitio web personal resultó en cuatro encabezados de respuesta HTTP faltantes. Entre otros, el ya mencionado »Content-Security-Header«, el »X-Frame-Options-Header«, el »X-XSS-Protection-Header« y el »X-Content-Type-Options-Header«.

El »X-Frame-Options-Header« protege su sitio web de ser ejecutado en un marco. Hay gente en la web a la que le gusta adornarse con plumas prestadas. Estas personas crean Me gusta para integrar otros sitios web a través de iFrames. De esta manera, proporcionan un buen contenido sin escribirlo ellos mismos.

El »X-XSS-Protection-Header« configura el «Cross-Site-Scripting-Filter» interno, que ya está integrado en la mayoría de los navegadores. La configuración recomendada «X-XSS-Protection: 1; mode=block» protege a sus visitantes de ataques a sus computadoras. Los siguientes navegadores admiten el filtro: Internet Explorer, Chrome y Safari (Webkit).

El »X-Content-Type-Options-Header« sólo puede establecer el valor «nosniff». Evita que Internet Explorer y Google Chrome busquen tipos MIME diferentes a los definidos por el tipo de contenido declarado (texto/HTML, por ejemplo). También se impide que Google Chrome descargue extensiones. Por lo tanto, los llamados ataques de descargas ocultas ya no son posibles. Su computadora no puede ser infectada con código malicioso. Por supuesto, esto solo se aplica al sitio web que establece este encabezado de respuesta.

Conclusión

El servicio en línea encabezados de seguridad puede aumentar la seguridad significativamente. No solo pudimos asegurar nuestro propio servidor usando el encabezado de respuesta HTTP apropiado, sino que también mejoramos la seguridad de nuestros visitantes. La herramienta en línea muestra exactamente dónde están los problemas de seguridad y cómo se pueden solucionar.

Enlaces relacionados:

(dpe)

#Securityheadersio #Qué #tan #seguro #espacio #web

Publicaciones Similares

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *