Güvenlik başlıkları neden önemlidir?

Güvenlik başlıkları, tarayıcıya sitenizi nasıl işlemesi gerektiğini söyler. Doğru yapılandırıldığında XSS (siteler arası betik çalıştırma), clickjacking, MIME sniffing, referrer bilgisi sızıntısı ve izinsiz tarayıcı özelliği erişimi gibi yaygın saldırılara karşı etkili bir savunma katmanı oluşturur.

Başlıkları nasıl ekleyebilirim?

Apache sunucularda mod_headers ile .htaccess veya httpd.conf dosyasına Header set direktifleri ekleyebilirsiniz. Nginx'de add_header yönergesi kullanılır. WordPress için güvenlik eklentileri veya .htaccess düzenlemesi yeterlidir.

CSP başlığı neden bu kadar karmaşık?

Content-Security-Policy, hangi domain ve kaynaklardan script, stil, resim vb. yüklenebileceğini tanımlar. Yanlış yapılandırıldığında siteyi bozabilir; bu nedenle önce Content-Security-Policy-Report-Only başlığıyla raporlama modunda test etmek önerilir.

Neden bazı sitelerde sonuç alamıyorum?

Bazı sunucular bot isteklerini engelleyebilir, çok yavaş yanıt verip zaman aşımına uğrayabilir veya geçersiz SSL sertifikası kullanabilir. Ayrıca güvenlik nedeniyle yerel ağ ve özel IP adreslerine (localhost, 192.168.x vb.) sorgu yapılamaz.

নিরাপত্তা বিষয়ক খবরের বিনামূল্যে বিশ্লেষণ

তথ্য

নিরাপত্তা শিরোনামের বিনামূল্যে বিশ্লেষণ

সিকিউরিটি হেডার হলো HTTP রেসপন্স হেডার যা আপনার ওয়েব সার্ভার আপনার ব্রাউজারে পাঠায় এবং এটি আপনার সাইটকে বিভিন্ন ধরনের আক্রমণ থেকে রক্ষা করে। এই বিনামূল্যের টুলটি আপনার দেওয়া URL-এ থাকা ছয়টি গুরুত্বপূর্ণ সিকিউরিটি হেডারের জন্য সার্ভারকে কোয়েরি করে; এটি প্রতিটির উপস্থিতি, মান এবং একটি সংক্ষিপ্ত সুপারিশ তালিকাভুক্ত করে, তারপর A+ থেকে F পর্যন্ত একটি সামগ্রিক নিরাপত্তা রেটিং দেয়।

বিশ্লেষণকৃত বিষয়গুলো নিম্নরূপ: কঠোর-পরিবহন-নিরাপত্তা (HSTS) এটি সাইটটিকে শুধুমাত্র HTTPS-এর মাধ্যমে অ্যাক্সেসযোগ্য করে তোলে; বিষয়বস্তু-নিরাপত্তা-নীতি (সিএসপি) এটি কোন রিসোর্সগুলো লোড করা যাবে তা নির্ধারণ করার মাধ্যমে XSS আক্রমণ প্রতিরোধ করে; এক্স-ফ্রেম-বিকল্প এটি আপনার সাইটকে অন্য সাইটের আইফ্রেমে প্রদর্শিত হতে বাধা দিয়ে ক্লিকজ্যাকিং থেকে সুরক্ষা প্রদান করে; X-কন্টেন্ট-টাইপ-অপশন এটি MIME টাইপ প্রেডিকশন নিষ্ক্রিয় করে; রেফারার নীতি এটি নিয়ন্ত্রণ করে কোন ভিজিটর রেফারার তথ্য তৃতীয় পক্ষের সাথে শেয়ার করা হবে; অনুমতি নীতি এটি ক্যামেরা, মাইক্রোফোন এবং অবস্থানের মতো ব্রাউজার বৈশিষ্ট্যগুলিতে প্রবেশাধিকার সীমাবদ্ধ করে।

এই হেডারগুলো যোগ করলে আপনার সাইট XSS, ক্লিকজ্যাকিং, MIME স্নিফিং, ডেটা লিকেজ এবং অননুমোদিত API অ্যাক্সেসের মতো সাধারণ ওয়েব নিরাপত্তা দুর্বলতার বিরুদ্ধে অনেক বেশি সুরক্ষিত হয়ে ওঠে। ফলাফলগুলো আমাদের সার্ভারের মাধ্যমে রিয়েল-টাইমে কোয়েরি করা হয়; নিরাপত্তার কারণে লোকাল এবং প্রাইভেট নেটওয়ার্ক অ্যাড্রেস ব্লক করা থাকে।

এটি কীভাবে ব্যবহার করবেন?

ধাপে ধাপে

আপনি যে সাইটটি চেক করতে চান তার ঠিকানা https://example.com এই বিন্যাসে এটি প্রবেশ করান।
বিশ্লেষণ করুন বাটনটিতে ক্লিক করুন; আমাদের সার্ভার আপনার সাইটে একটি অনুরোধ পাঠাবে।
প্রতিটি নিরাপত্তা হেলমেটের জন্য বর্তমান (সবুজ) অথবা অনুপস্থিত (লাল) অবস্থা এবং একটি সংক্ষিপ্ত পরামর্শ প্রদর্শিত হয়।
পৃষ্ঠার শীর্ষে সাধারণ নিরাপত্তা নোট (এ+ থেকে এফ পর্যন্ত গ্রেড দেখানো হয়; আপনার সার্ভার কনফিগারেশনে অনুপস্থিত শিরোনামগুলো যোগ করে আপনি আপনার গ্রেড উন্নত করতে পারেন।)
বিদ্যমান শিরোনামগুলির মূল্য অনুলিপি আপনি বাটনটি ব্যবহার করে এটি আপনার ক্লিপবোর্ডে যোগ করতে পারেন।

FAQ

প্রায়শই জিজ্ঞাসিত প্রশ্নাবলী

সিকিউরিটি হেডারগুলো ব্রাউজারকে বলে দেয় আপনার সাইটটি কীভাবে পরিচালনা করতে হবে। সঠিকভাবে কনফিগার করা হলে, এগুলো XSS (ক্রস-সাইট স্ক্রিপ্টিং), ক্লিকজ্যাকিং, MIME স্নিফিং, রেফারার তথ্য ফাঁস এবং ব্রাউজারের ফিচারে অননুমোদিত অ্যাক্সেসের মতো সাধারণ আক্রমণগুলোর বিরুদ্ধে একটি কার্যকর প্রতিরক্ষা স্তর তৈরি করে।

এই টুলটি ৬টি গুরুত্বপূর্ণ হেডিং পরীক্ষা করে: Strict-Transport-Security, Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, এবং Permissions-Policy। যদি সবগুলো উপস্থিত থাকে এবং প্রতিক্রিয়াটি সফল হয়, তবে একটি A+ গ্রেড প্রদান করা হয়।

অ্যাপাচি সার্ভারগুলিতে মড_হেডার্স সাথে .htaccess অথবা httpd.conf ফাইলে হেডার সেট আপনি Nginx-এ নির্দেশাবলী যোগ করতে পারেন। হেডার যোগ করুন নিম্নলিখিত নির্দেশিকাটি ব্যবহৃত হয়। ওয়ার্ডপ্রেস বা এর জন্য নিরাপত্তা প্লাগইন .htaccess এই ব্যবস্থাটি যথেষ্ট।

কন্টেন্ট-সিকিউরিটি-পলিসি নির্ধারণ করে কোন ডোমেইন এবং উৎস থেকে স্ক্রিপ্ট, স্টাইল, ছবি ইত্যাদি আপলোড করা যাবে। ভুল কনফিগারেশনের কারণে সাইটটি অকার্যকর হয়ে যেতে পারে; তাই, প্রথমে এটি করা গুরুত্বপূর্ণ...

বিষয়বস্তু-নিরাপত্তা-নীতি-প্রতিবেদন-শুধুমাত্র

শিরোনাম সহ রিপোর্টিং মোডে পরীক্ষা করার পরামর্শ দেওয়া হচ্ছে।

কিছু সার্ভার বট অনুরোধ ব্লক করতে পারে, খুব ধীরে সাড়া দিতে পারে এবং টাইম আউট হয়ে যেতে পারে, অথবা অবৈধ SSL সার্টিফিকেট ব্যবহার করতে পারে। এছাড়াও, নিরাপত্তার কারণে লোকাল নেটওয়ার্ক এবং প্রাইভেট আইপি অ্যাড্রেসে (localhost, 192.168.x, ইত্যাদি) কোয়েরি করা যায় না।

নিরাপত্তা শিরোনামের বিনামূল্যে বিশ্লেষণ

নিরাপত্তা শিরোনামের বিনামূল্যে বিশ্লেষণ

ধাপে ধাপে

প্রায়শই জিজ্ঞাসিত প্রশ্নাবলী

নিরাপত্তা হেলমেট কেন গুরুত্বপূর্ণ?

A+ গ্রেড পেতে হলে কোন কোন বিষয়ে সম্পূর্ণভাবে পাশ করতে হবে?

আমি কীভাবে শিরোনাম যোগ করতে পারি?

CSP হেডারটি এত জটিল কেন?

কিছু ওয়েবসাইটে আমি ফলাফল পাচ্ছি না কেন?