Güvenlik başlıkları neden önemlidir?

Güvenlik başlıkları, tarayıcıya sitenizi nasıl işlemesi gerektiğini söyler. Doğru yapılandırıldığında XSS (siteler arası betik çalıştırma), clickjacking, MIME sniffing, referrer bilgisi sızıntısı ve izinsiz tarayıcı özelliği erişimi gibi yaygın saldırılara karşı etkili bir savunma katmanı oluşturur.

A+ notu almak için hangi başlıkların tamamı olmalı?

Bu araç 6 kritik başlığı kontrol eder: Strict-Transport-Security, Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy ve Permissions-Policy. Tümü mevcut ve yanıt başarılıysa A+ notu verilir.

Başlıkları nasıl ekleyebilirim?

Apache sunucularda mod_headers ile .htaccess veya httpd.conf dosyasına Header set direktifleri ekleyebilirsiniz. Nginx'de add_header yönergesi kullanılır. WordPress için güvenlik eklentileri veya .htaccess düzenlemesi yeterlidir.

CSP başlığı neden bu kadar karmaşık?

Content-Security-Policy, hangi domain ve kaynaklardan script, stil, resim vb. yüklenebileceğini tanımlar. Yanlış yapılandırıldığında siteyi bozabilir; bu nedenle önce Content-Security-Policy-Report-Only başlığıyla raporlama modunda test etmek önerilir.

Neden bazı sitelerde sonuç alamıyorum?

Bazı sunucular bot isteklerini engelleyebilir, çok yavaş yanıt verip zaman aşımına uğrayabilir veya geçersiz SSL sertifikası kullanabilir. Ayrıca güvenlik nedeniyle yerel ağ ve özel IP adreslerine (localhost, 192.168.x vb.) sorgu yapılamaz.

സുരക്ഷാ തലക്കെട്ടുകളുടെ സൗജന്യ വിശകലനം

വിവരം

സുരക്ഷാ തലക്കെട്ടുകൾ സൗജന്യ വിശകലനം

സുരക്ഷാ തലക്കെട്ടുകൾ എന്നത് നിങ്ങളുടെ വെബ് സെർവർ നിങ്ങളുടെ ബ്രൗസറിലേക്ക് അയയ്ക്കുന്ന HTTP പ്രതികരണ തലക്കെട്ടുകളാണ്, ഇത് നിങ്ങളുടെ സൈറ്റിനെ വിവിധ തരത്തിലുള്ള ആക്രമണങ്ങളിൽ നിന്ന് സംരക്ഷിക്കുന്നു. നിങ്ങൾ നൽകുന്ന URL-ലെ ആറ് നിർണായക സുരക്ഷാ തലക്കെട്ടുകൾക്കായി ഈ സൗജന്യ ഉപകരണം സെർവറിനോട് അന്വേഷിക്കുന്നു; ഇത് ഓരോന്നിനും സാന്നിധ്യം, മൂല്യം, ഒരു ചെറിയ ശുപാർശ എന്നിവ പട്ടികപ്പെടുത്തുന്നു, തുടർന്ന് A+ മുതൽ F വരെയുള്ള മൊത്തത്തിലുള്ള സുരക്ഷാ റേറ്റിംഗ് നൽകുന്നു.

വിശകലനം ചെയ്ത വിഷയങ്ങൾ ഇപ്രകാരമാണ്: കർശനമായ ഗതാഗത സുരക്ഷ (HSTS) ഇത് HTTPS വഴി മാത്രമേ സൈറ്റിലേക്ക് പ്രവേശനം അനുവദിക്കൂ; ഉള്ളടക്ക-സുരക്ഷാ-നയം (CSP) ഏതൊക്കെ ഉറവിടങ്ങളാണ് ലോഡ് ചെയ്യാൻ കഴിയുക എന്ന് നിർവചിച്ചുകൊണ്ട് ഇത് XSS ആക്രമണങ്ങളെ തടയുന്നു; എക്സ്-ഫ്രെയിം-ഓപ്ഷനുകൾ മറ്റ് സൈറ്റുകളുടെ ഐഫ്രെയിമുകളിൽ നിങ്ങളുടെ സൈറ്റ് പ്രദർശിപ്പിക്കുന്നത് തടയുന്നതിലൂടെ ഇത് ക്ലിക്ക്ജാക്കിംഗിൽ നിന്ന് സംരക്ഷിക്കുന്നു; എക്സ്-കണ്ടന്റ്-ടൈപ്പ്-ഓപ്ഷനുകൾ ഇത് MIME തരം പ്രവചനം പ്രവർത്തനരഹിതമാക്കുന്നു; റഫറർ നയം മൂന്നാം കക്ഷികളുമായി ഏതൊക്കെ സന്ദർശക റഫറർ വിവരങ്ങൾ പങ്കിടണമെന്ന് ഇത് നിയന്ത്രിക്കുന്നു; അനുമതി നയം ക്യാമറ, മൈക്രോഫോൺ, ലൊക്കേഷൻ തുടങ്ങിയ ബ്രൗസർ സവിശേഷതകളിലേക്കുള്ള ആക്‌സസ് ഇത് നിയന്ത്രിക്കുന്നു.

ഈ ഹെഡറുകൾ ചേർക്കുന്നത് നിങ്ങളുടെ സൈറ്റിനെ XSS, ക്ലിക്ക്ജാക്കിംഗ്, MIME സ്നിഫിംഗ്, ഡാറ്റ ചോർച്ച, അനധികൃത API ആക്‌സസ് തുടങ്ങിയ സാധാരണ വെബ് സുരക്ഷാ കേടുപാടുകൾക്കെതിരെ കൂടുതൽ പ്രതിരോധശേഷിയുള്ളതാക്കുന്നു. ഞങ്ങളുടെ സെർവർ വഴി ഫലങ്ങൾ തത്സമയം അന്വേഷിക്കുന്നു; സുരക്ഷാ കാരണങ്ങളാൽ ലോക്കൽ, സ്വകാര്യ നെറ്റ്‌വർക്ക് വിലാസങ്ങൾ തടഞ്ഞിരിക്കുന്നു.

ഇതെങ്ങനെ ഉപയോഗിക്കണം?

ഘട്ടം ഘട്ടമായി

നിങ്ങൾ പരിശോധിക്കാൻ ആഗ്രഹിക്കുന്ന സൈറ്റിന്റെ വിലാസം https://example.com ഈ ഫോർമാറ്റിൽ അത് നൽകുക.
വിശകലനം ചെയ്യുക ബട്ടൺ ക്ലിക്ക് ചെയ്യുക; ഞങ്ങളുടെ സെർവർ നിങ്ങളുടെ സൈറ്റിലേക്ക് ഒരു അഭ്യർത്ഥന അയയ്ക്കും.
ഓരോ സുരക്ഷാ ഹെൽമെറ്റിനും കറന്റ് (പച്ച) അല്ലെങ്കിൽ കാണുന്നില്ല (ചുവപ്പ്) സ്റ്റാറ്റസും ഒരു ഹ്രസ്വ നിർദ്ദേശവും പ്രദർശിപ്പിച്ചിരിക്കുന്നു.
പേജിന്റെ മുകളിൽ പൊതു സുരക്ഷാ കുറിപ്പ് (A+ മുതൽ F വരെയുള്ള ഗ്രേഡുകൾ പ്രദർശിപ്പിച്ചിരിക്കുന്നു; നിങ്ങളുടെ സെർവർ കോൺഫിഗറേഷനിൽ വിട്ടുപോയ തലക്കെട്ടുകൾ ചേർത്തുകൊണ്ട് നിങ്ങളുടെ ഗ്രേഡ് മെച്ചപ്പെടുത്താൻ കഴിയും.)
നിലവിലുള്ള ശീർഷകങ്ങളുടെ മൂല്യം പകർത്തുക ബട്ടൺ ഉപയോഗിച്ച് നിങ്ങൾക്ക് ഇത് നിങ്ങളുടെ ക്ലിപ്പ്ബോർഡിലേക്ക് ചേർക്കാൻ കഴിയും.

FAQ

പതിവ് ചോദ്യങ്ങൾ

സുരക്ഷാ തലക്കെട്ടുകൾ നിങ്ങളുടെ സൈറ്റ് എങ്ങനെ കൈകാര്യം ചെയ്യണമെന്ന് ബ്രൗസറിനോട് പറയുന്നു. ശരിയായി കോൺഫിഗർ ചെയ്യുമ്പോൾ, XSS (ക്രോസ്-സൈറ്റ് സ്ക്രിപ്റ്റിംഗ്), ക്ലിക്ക്ജാക്കിംഗ്, MIME സ്നിഫിംഗ്, റഫറർ വിവര ചോർച്ച, അനധികൃത ബ്രൗസർ ഫീച്ചർ ആക്‌സസ് തുടങ്ങിയ സാധാരണ ആക്രമണങ്ങൾക്കെതിരെ അവ ഫലപ്രദമായ ഒരു പ്രതിരോധ പാളി സൃഷ്ടിക്കുന്നു.

ഈ ഉപകരണം 6 നിർണായക തലക്കെട്ടുകൾ പരിശോധിക്കുന്നു: കർശനമായ-ഗതാഗത-സുരക്ഷ, ഉള്ളടക്ക-സുരക്ഷ-നയം, എക്സ്-ഫ്രെയിം-ഓപ്ഷനുകൾ, എക്സ്-ഉള്ളടക്ക-തരം-ഓപ്ഷനുകൾ, റഫറർ-നയം, അനുമതികൾ-നയം. എല്ലാം ഉണ്ടായിരിക്കുകയും പ്രതികരണം വിജയകരമാവുകയും ചെയ്താൽ, A+ ഗ്രേഡ് നൽകും.

അപ്പാച്ചെ സെർവറുകളിൽ മോഡ്_ഹെഡറുകൾ കൂടെ .htaccess അല്ലെങ്കിൽ httpd.conf ഫയലിലേക്ക് ഹെഡർ സെറ്റ് നിങ്ങൾക്ക് Nginx-ൽ നിർദ്ദേശങ്ങൾ ചേർക്കാൻ കഴിയും. ആഡ്_ഹെഡർ ഇനിപ്പറയുന്ന നിർദ്ദേശം ഉപയോഗിക്കുന്നു. വേർഡ്പ്രസ്സിനായുള്ള സുരക്ഷാ പ്ലഗിനുകൾ അല്ലെങ്കിൽ .htaccess ഈ ക്രമീകരണം മതി.

സ്ക്രിപ്റ്റുകൾ, സ്റ്റൈലുകൾ, ഇമേജുകൾ മുതലായവ അപ്‌ലോഡ് ചെയ്യാൻ കഴിയുന്ന ഡൊമെയ്‌നുകളും ഉറവിടങ്ങളും ഏതൊക്കെയാണെന്ന് ഉള്ളടക്ക-സുരക്ഷാ-നയം നിർവചിക്കുന്നു. തെറ്റായ കോൺഫിഗറേഷൻ സൈറ്റിനെ തകർക്കും; അതിനാൽ, ആദ്യം... ചെയ്യേണ്ടത് നിർണായകമാണ്. ഉള്ളടക്ക-സുരക്ഷ-നയ-റിപ്പോർട്ട്-മാത്രം എന്ന തലക്കെട്ടോടെ റിപ്പോർട്ടിംഗ് മോഡിൽ പരീക്ഷിക്കാൻ ശുപാർശ ചെയ്യുന്നു.

ചില സെർവറുകൾ ബോട്ട് അഭ്യർത്ഥനകൾ തടയുകയോ, വളരെ സാവധാനത്തിൽ പ്രതികരിക്കുകയും കാലഹരണപ്പെടുകയും ചെയ്തേക്കാം, അല്ലെങ്കിൽ അസാധുവായ SSL സർട്ടിഫിക്കറ്റുകൾ ഉപയോഗിച്ചേക്കാം. കൂടാതെ, സുരക്ഷാ കാരണങ്ങളാൽ, ലോക്കൽ നെറ്റ്‌വർക്കിലേക്കും സ്വകാര്യ IP വിലാസങ്ങളിലേക്കും (ലോക്കൽഹോസ്റ്റ്, 192.168.x, മുതലായവ) ചോദ്യങ്ങൾ ചോദിക്കാൻ കഴിയില്ല.

സുരക്ഷാ തലക്കെട്ടുകൾ സൗജന്യ വിശകലനം

സുരക്ഷാ തലക്കെട്ടുകൾ സൗജന്യ വിശകലനം

ഘട്ടം ഘട്ടമായി

പതിവ് ചോദ്യങ്ങൾ

സുരക്ഷാ ഹെൽമെറ്റുകൾ പ്രധാനമായിരിക്കുന്നത് എന്തുകൊണ്ട്?

A+ ഗ്രേഡ് ലഭിക്കാൻ ഏതൊക്കെ വിഷയങ്ങളാണ് പൂർണ്ണമായി പാസാകേണ്ടത്?

എനിക്ക് എങ്ങനെ തലക്കെട്ടുകൾ ചേർക്കാൻ കഴിയും?

എന്തുകൊണ്ടാണ് CSP തലക്കെട്ട് ഇത്ര സങ്കീർണ്ണമായിരിക്കുന്നത്?

ചില വെബ്‌സൈറ്റുകളിൽ എനിക്ക് ഫലങ്ങൾ ലഭിക്കാത്തത് എന്തുകൊണ്ട്?