Güvenlik başlıkları neden önemlidir?

Güvenlik başlıkları, tarayıcıya sitenizi nasıl işlemesi gerektiğini söyler. Doğru yapılandırıldığında XSS (siteler arası betik çalıştırma), clickjacking, MIME sniffing, referrer bilgisi sızıntısı ve izinsiz tarayıcı özelliği erişimi gibi yaygın saldırılara karşı etkili bir savunma katmanı oluşturur.

A+ notu almak için hangi başlıkların tamamı olmalı?

Bu araç 6 kritik başlığı kontrol eder: Strict-Transport-Security, Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy ve Permissions-Policy. Tümü mevcut ve yanıt başarılıysa A+ notu verilir.

Başlıkları nasıl ekleyebilirim?

Apache sunucularda mod_headers ile .htaccess veya httpd.conf dosyasına Header set direktifleri ekleyebilirsiniz. Nginx'de add_header yönergesi kullanılır. WordPress için güvenlik eklentileri veya .htaccess düzenlemesi yeterlidir.

CSP başlığı neden bu kadar karmaşık?

Content-Security-Policy, hangi domain ve kaynaklardan script, stil, resim vb. yüklenebileceğini tanımlar. Yanlış yapılandırıldığında siteyi bozabilir; bu nedenle önce Content-Security-Policy-Report-Only başlığıyla raporlama modunda test etmek önerilir.

Neden bazı sitelerde sonuç alamıyorum?

Bazı sunucular bot isteklerini engelleyebilir, çok yavaş yanıt verip zaman aşımına uğrayabilir veya geçersiz SSL sertifikası kullanabilir. Ayrıca güvenlik nedeniyle yerel ağ ve özel IP adreslerine (localhost, 192.168.x vb.) sorgu yapılamaz.

የደህንነት ዋና ዜናዎች ነፃ ትንታኔ

መረጃ

የደህንነት ርዕሶች ነፃ ትንታኔ

የደህንነት ራስጌዎች የድር አገልጋይዎ ወደ አሳሽዎ የሚልካቸው የኤችቲቲፒ ምላሽ ራስጌዎች ሲሆኑ፣ ጣቢያዎን ከተለያዩ የጥቃት ዓይነቶች ይጠብቃሉ። ይህ ነፃ መሳሪያ አገልጋዩን በሚያስገቡት ዩአርኤል ውስጥ ስድስት ወሳኝ የደህንነት ራስጌዎችን ይጠይቃል፤ ለእያንዳንዱ ተገኝነት፣ ዋጋ እና አጭር ምክር ይዘረዝራል፣ ከዚያም ከ A+ እስከ F አጠቃላይ የደህንነት ደረጃ ይሰጣል።

የተተነተኑት ርዕሶች እንደሚከተለው ናቸው፡ ጥብቅ የትራንስፖርት ደህንነት (HSTS) ጣቢያውን በHTTPS በኩል ብቻ ተደራሽ ያደርገዋል፤ የይዘት-ደህንነት-ፖሊሲ (CSP) የትኞቹ ሀብቶች ሊጫኑ እንደሚችሉ በመግለጽ የXSS ጥቃቶችን ይከላከላል፤ የኤክስ-ፍሬም-አማራጮች ጣቢያዎ በሌሎች የጣቢያዎች አይፍሬሞች ላይ እንዳይታይ በመከላከል ክሊክጃኪንግን ይከላከላል፤ የኤክስ-የይዘት-አይነት-አማራጮች የMIME አይነት ትንበያን ያሰናክላል፤ የሪፈራል ፖሊሲ የትኛው የጎብኚ ሪፈራል መረጃ ከሶስተኛ ወገኖች ጋር እንደሚጋራ ይቆጣጠራል፤ የፈቃዶች መመሪያ እንደ ካሜራ፣ ማይክሮፎን እና አካባቢ ያሉ የአሳሽ ባህሪያትን መዳረሻ ይገድባል።

እነዚህን ራስጌዎች ማከል ጣቢያዎን እንደ XSS፣ clickjacking፣ MIME snitching፣ የውሂብ መፍሰስ እና ያልተፈቀደ የኤፒአይ መዳረሻ ባሉ የተለመዱ የድር ደህንነት ተጋላጭነቶች ላይ የበለጠ ጠንካራ ያደርገዋል። ውጤቶቹ በአገልጋያችን በኩል በእውነተኛ ጊዜ ይጠየቃሉ፤ የአካባቢ እና የግል አውታረ መረብ አድራሻዎች ለደህንነት ሲባል ታግደዋል።

እንዴት መጠቀም ይቻላል?

ደረጃ በደረጃ

ማረጋገጥ የሚፈልጉት የጣቢያ አድራሻ https://example.com በዚህ ቅርጸት ያስገቡት።
ትንታኔ አዝራሩን ጠቅ ያድርጉ፤ አገልጋያችን ለጣቢያዎ ጥያቄ ይልካል።
ለእያንዳንዱ የደህንነት የራስ ቁር ወቅታዊ (አረንጓዴ) ወይም ጠፍቷል (ቀይ) ሁኔታው እና አጭር ጥቆማ ይታያል።
በገጹ አናት ላይ አጠቃላይ የደህንነት ማስታወሻ (ከ A+ እስከ F የሚደርሱ ደረጃዎች ይታያሉ፤ የጎደሉትን ርዕሶች ወደ አገልጋይዎ ውቅር በማከል ውጤትዎን ማሻሻል ይችላሉ።)
የነባር ርዕሶች እሴት ቅጂ አዝራሩን በመጠቀም ወደ ቅንጥብ ሰሌዳዎ ማከል ይችላሉ።

ተደጋጋሚ ጥያቄዎች

በተደጋጋሚ የሚጠየቁ ጥያቄዎች

የደህንነት ራስጌዎች አሳሹ ጣቢያዎን እንዴት መያዝ እንዳለበት ይነግሩታል። በአግባቡ ሲዋቀሩ፣ እንደ XSS (የጣቢያ ክሮስ ስክሪፕት)፣ ክሊክጃኪንግ፣ MIME snishing፣ የሪፈራል መረጃ መፍሰስ እና ያልተፈቀደ የአሳሽ ባህሪ መዳረሻ ካሉ የተለመዱ ጥቃቶች ውጤታማ የመከላከያ ንብርብር ይፈጥራሉ።

ይህ መሳሪያ 6 ወሳኝ ርዕሶችን ይፈትሻል፡- ጥብቅ-ትራንስፖርት-ደህንነት፣ የይዘት-ደህንነት-ፖሊሲ፣ የX-ፍሬም-አማራጮች፣ የX-የይዘት-አይነት-አማራጮች፣ የሪፈራል-ፖሊሲ እና የፈቃዶች-ፖሊሲ። ሁሉም ካሉ እና ምላሹ ስኬታማ ከሆነ፣ የA+ ደረጃ ይሰጣል።

በ Apache አገልጋዮች ላይ mod_headers ከ ጋር .htaccess ወይም httpd.conf ወደ ፋይሉ የራስጌ ስብስብ በ Nginx ውስጥ መመሪያዎችን ማከል ይችላሉ። ራስጌ_አክል የሚከተለው መመሪያ ጥቅም ላይ ይውላል። ለዎርድፕረስ የደህንነት ተሰኪዎች ወይም .htaccess ይህ ዝግጅት በቂ ነው።

የይዘት-ደህንነት-ፖሊሲ የትኞቹ ጎራዎች እና ምንጮች ስክሪፕቶችን፣ ቅጦችን፣ ምስሎችን ወዘተ ሊሰቅሉ እንደሚችሉ ይገልጻል። የተሳሳተ ውቅር ጣቢያውን ሊሰብረው ይችላል፤ ስለዚህ፣ በመጀመሪያ... የይዘት-ደህንነት-ፖሊሲ-ሪፖርት-ብቻ በርዕሱ በሪፖርት አቀራረብ ሁነታ መሞከር ይመከራል።

አንዳንድ አገልጋዮች የቦት ጥያቄዎችን ሊያግዱ፣ በጣም በዝግታ ምላሽ ሊሰጡ እና ጊዜ ሊያጠፉ ወይም ልክ ያልሆኑ የSSL ሰርተፊኬቶችን ሊጠቀሙ ይችላሉ። እንዲሁም፣ ለደህንነት ሲባል፣ ለአካባቢያዊ አውታረ መረብ እና ለግል የአይፒ አድራሻዎች (localhost፣ 192.168.x፣ ወዘተ) መጠይቆችን ማቅረብ አይቻልም።

የደህንነት ርዕሶች ነፃ ትንታኔ

የደህንነት ርዕሶች ነፃ ትንታኔ

ደረጃ በደረጃ

በተደጋጋሚ የሚጠየቁ ጥያቄዎች

የደህንነት የራስ ቁር ለምን አስፈላጊ ነው?

የA+ ውጤት ለማግኘት የትኞቹን የትምህርት ዓይነቶች ሙሉ በሙሉ ማለፍ አለባቸው?

ርዕሶችን እንዴት ማከል እችላለሁ?

የሲኤስፒ ራስጌ ለምን በጣም ውስብስብ ነው?

በአንዳንድ ድረ-ገጾች ላይ ውጤት የማላገኘው ለምንድን ነው?