Статьи о маркетинге и брендинге

Google просит всех создателей сайтов добавить заголовки Nosniff

Google выпустил обновление для системы безопасности Chrome и попросил веб-разработчиков уделить больше внимания заголовку ответа nosniff, чтобы предотвратить взломы через веб-браузеры. Эта проблема важна, если вы SEO, веб-разработчик, веб-дизайнер или создатель сайта.

Почему обновление безопасности

Атаки (Spectre & Meltdown) используют уязвимости в устройстве посетителя, чтобы украсть конфиденциальную информацию, такую как пароли. Это представляет проблему пользовательского опыта.

Что делает обновление Chrome

Chrome обновление версии 67, вводит функцию, которая ранее была в бета-версии и называлась, изоляция сайта. Изоляция сайта - это метод предотвращения атаки на браузер посетителя сайта.

Согласно странице разработчиков Chrome:

"Изоляция сайтов - это функция безопасности в Chrome, которая обеспечивает дополнительную защиту от некоторых типов ошибок безопасности. Это затрудняет ненадежным веб-сайтам доступ или кражу информации из ваших учетных записей на других сайтах.

... Изоляция сайта предлагает вторую линию обороны, чтобы сделать такие атаки менее вероятными. Это гарантирует, что страницы с разных сайтов всегда помещаются в разные процессы, каждый из которых выполняется в песочнице, что ограничивает то, что процесс может делать. Это также позволит блокировать процесс получения определенных типов конфиденциальных данных с других сайтов. В результате вредоносному сайту будет сложнее украсть данные с других сайтов, даже если он может нарушить некоторые правила в своем собственном процессе.”

Что Google хочет от вас

Есть две вещи, которые команда Google Chrome просит разработчиков и создателей сделать, чтобы помочь функции изоляции сайта Chrome работать более эффективно.

1. Убедиться, что ваши ресурсы обслуживаются с правильными заголовками ответа "Content-Type"

2. И что ресурсы обслуживаются с заголовком ответа nosniff

Вот что сообщается на странице в штате разработчиков Google:

Для ресурсов HTML, JSON и XML:
Убедитесь, что эти ресурсы обслуживаются с правильным заголовком ответа “Content-Type” из списка ниже, а также с заголовком ответа “X-Content-Type-Options: nosniff”. Эти заголовки гарантируют, что Chrome сможет идентифицировать ресурсы как нуждающиеся в защите, независимо от содержимого ресурсов.

  1. HTML MIME type - " text / html”
  2. Типа XML МИМ – “текст/XML”, “приложение/XML”, или каких-либо MIME-типом, подтипом которого заканчивается в “+в XML”
  3. Типа json МИМ – “текст/json с”, “приложение/json”, или каких-либо MIME-типом, подтипом которого заканчивается в “+json с”

Заголовок ответа Nosniff

Заголовок ответа nosniff - это способ обеспечить безопасность сайта.

Исследователь безопасности Скотт Хелм описывает это так:

"Это предотвращает Google Chrome и Internet Explorer от попыток mime-sniff тип содержимого ответа от того, который объявляется сервером.”

Chrome 67 теперь имеет автоматизированный процесс для защиты пользователей от атак Spectre и Meltdown. Тем не менее Google рекомендует веб-разработчикам не полагаться на этот автоматический процесс, а прояснить его с помощью заголовка ответа nosniff:

"...когда Заголовок "nosniff" отсутствует, Chrome сначала проверяет начало файла, чтобы проверить, является ли он HTML, XML или JSON, прежде чем принимать решение о его защите. Если он не может это подтвердить, то позволяет ответу быть полученным процессом межсайтовой страницы. Этот метод, добавляет некоторую ограниченную защиту при сохранении совместимости с существующими сайтами. Мы рекомендуем веб-разработчикам включать заголовок "nosniff “для защиты своих ресурсов, чтобы не полагаться на этот подход ”confirmation sniffing подтверждения".”

Как добавить заголовок ответа Nosniff

Первое, что нужно сделать, это проверить заголовки безопасности SecurityHeaders.com это бесплатный и простой в использовании инструмент, который сканирует веб-сайты, чтобы увидеть, если у них отсутствуют заголовки, связанные с безопасностью.

Если вам нужно реализовать заголовки ответа nosniff, один из способов-это использовать .htaccess

Откройте файл .htaccess для кода заголовка ответа nosniff:

<IfModule mod_headers.c>
Header set X-Content-Type-Options nosniff
</IfModule>

Как добавить заголовок Nosniff в WordPress

Если вы работаете на WordPress, есть два плагина, которые можно использовать для добавления нескольких важных заголовков безопасности, включая заголовок nosniff. Первый, с 3000+ установок называется, Security Headers. Это простой в использовании плагин с минимальными настройками, что делает одну вещь и делает это хорошо.

Второй плагин называется, HTTP Headers to Improve Security для повышения безопасности с 1000 + установок. Этот плагин содержит больше возможностей для укрепления вашей безопасности, в том числе установка CSP (Content-Security-Policy) заголовок, который помогает предотвратить межсайтовый скриптинг и clickjacking.

Третий плагин имеет 6000+ установок, прост в использовании и является всеобъемлющим. Он называется HTTP Headers. Этот плагин устанавливает баланс между простотой использования и полнотой. Проведите свой собственный тест выберите то, что подходит именно вам.

Внимание: из своего личного опыта мы, как правило, используем плагины, которые имеют большинство установок и у них самые высокие рейтинги. Но высокие установки не гарантируют, что плагин будет работать у вас без проблем и ошибок. Всегда будьте осторожны при установке плагинов.

Примечание: если вы используете W3 Total Cache, не забудьте очистить кэш после обновления настроек плагина. В противном случае настройки могут не вступить в силу.

Вывод: заголовки ответа безопасности важны

Даже если Google Chrome не просит издателей добавить заголовок ответа nosniff, все равно рекомендуется добавить этот и другие заголовки ответа безопасности на сайт.

Интересные статьи