Segurança dos cabeçalhos é um fator crucial para sua credibilidade online

mysitefaster security header article

A segurança dos cabeçalhos e a credibilidade online não é um tema que proprietários e desenvolvedores de sistemas web leva muito em consideração e isso é um erro gravíssimo. A imagem abaixo ilustra que mais de 80% dos sites pesquisados numa ferramente online que indica o nível de cuidado com esse assunto é baixa:

Indicador de vulnerabibidades sem cabeçalhos http
Site Security Headers

Ao abrir qualquer site no seu dispositivo móvel ou computador, uma quantidade considerável de informações são trafegadas pela internet. E quando você se “loga” em um sistema, as informações trafegadas são mais sensíveis, pois nome do usuário, localização, endereço de e-mail, senhas, chaves de criptografia etc. são trafegados pela internet. Os proprietários desses sistemas, assim como quem os desenvolve deve ter muito cuidado para evitar vazamento dessas informações por meio do protocolo HTTP. A recomendação é clara: a interface deve reduzir ao máximo as possibilidades de disseminação de tais informações. A história mostra que erros neste ponto costumam ocasionar grandes problemas de privacidade e geram publicidade altamente negativa para a empresa e desenvolvedores, colocando por terra a sua credibilidade online.

Um servidor está em posição de salvar dados pessoais sobre as solicitações de um usuário que possam identificar seus padrões de leitura ou assuntos de interesse. Essas informações são claramente de natureza confidencial e seu manuseio pode ser restringido por lei em alguns países. Sistemas que usam o protocolo HTTP para receber dados são responsáveis por garantir que tal material não seja distribuído sem a permissão de quaisquer indivíduos que sejam identificáveis pelos resultados publicados.

Logo, a preocupação com a segurança dos cabeçalhos para quem mantém um sistema na internet deve se concentrar não só na criação e publicação de seu sistema, mas, também, nas questões de segurança da informação e nas políticas de privacidade.

Só para ilustrar, estima-se que 90% dos sites existentes hoje possuem uma ou mais vulnerabilidades, conforme apontam investigações da ptsecurity e da Comparitech.

Isso expõe terrivelmente os dados de milhões de pessoas, além de milhões em valores monetários. Mas o que leva um site a ter vulnerabilidades? São alguns os fatores. Desde a fase inicial do projeto, a passar pela escolha do serviço de alojamento, integrações com ferramentas de análise e pixelização, tudo precisa ser muito bem desenhado, a pensar na performance (veja mais sobre performance nesse artigo), usabilidade e segurança da informação.

 

Segurança dos Cabeçalhos

Enquanto há comunicação entre uma aplicação num servidor web e o navegador do cliente, várias mensagens trafegam pela Internet. Chamamos essas mensagens de “pacotes”. Esses pacotes contém, em seu início, determinados marcadores que são chamados de “headers” ou, conhecidos também como, campos de cabeçalho do protocolo HTTP . Estes campos definem como vai acontecer uma operação de comunicação web.

Obviamente que somente a implementação dos headers HTTP não tornam uma aplicação segura. Entretanto, quando implementados de forma correta, melhoram consideravelmente a proteção das aplicações contra alguns tipos de ataques.

Apesar de ser uma configuração bem simples de ser feita, ainda é muito comum encontrarmos grandes aplicações que não possuem os headers HTTP implementados corretamente. Ou os possuem implementados, mas configurados de forma errada. Vale lembrar que mesmo com o aumento do uso da versão 2.0 do protocolo HTTP, esses headers ainda serão bastante utilizados.

O mais recomendável é que estes headers sejam configurados pelo servidor web, por exemplo nas configurações Apache, Nginx, Microsoft IIS ou no servidor web equivalente.

 

Aumente sua credibilidade online

Os headers são mensagens inseridas na resposta das requisições HTTP. Listaremos abaixo os tipos de cabeçalhos que podemos (e devemos) configurar no nosso ambiente.

Header X-XSS-Protection

Este header serve para informar aos navegadores mais modernos que eles devem aplicar filtros contra ataques Cross Site Scripting ou XSS. Navegadores em suas versões mais novas, tais como Google Chrome e Internet Explorer, já possuem ferramentas que procuram filtrar o conteúdo de uma página, evitando assim que ataques Cross Site Scripting (XSS) ocorram.

 

Header X-Content-Type-Options

Este header serve para evitar que navegadores interpretem o conteúdo da página e com isso evita a execução de possíveis códigos maliciosos. Um bom exemplo para ilustrar o uso desse header é quando fazemos o upload de um arquivo de texto contendo um código javascript, e o navegador interpreta e executa o código mesmo sendo apenas um arquivo de texto.

 

Header HTTP Strict-Transport-Security

Este header serve para obrigar a aplicação a utilizar o protocolo de comunicação segura SSL/TLS. Isso não permite que a aplicação possua conteúdo misto, ou seja, as páginas da aplicação não transmitirão ou consumirão recursos de páginas que utilizem o protocolo HTTP sem criptografia. Este header também obriga uma verificação do certificado SSL/TLS, para garantir que esteja tudo certo. Com a utilização desse header os ataques do tipo Man in the Middle são evitados. Entretanto este header só pode ser implementado se 100% da aplicação estiver utilizando SSL/TLS.

 

Header X-Frame-Options

Este header impede que o navegador exiba determinados tipos de conteúdo com base em elementos definidos Modelo de Objeto de Documentos (DOM – Document Object Model). Ao não permitir a renderização de determinados conteúdos externos nós protegemos a aplicação contra-ataques de Clickjacking.

 

Header Content Security Policy (CSP)

Este header implementa políticas que servem para validar a renderização da página e proteger contra ataques de injeção de conteúdo, tais como o Cross Site Scripting (XSS) [2].  Este header possui muitas políticas que devem ser estudadas individualmente para que não ocorra nenhum problema na aplicação.

Existe muitos materiais na internet sobre esse assunto. Abaixo estão alguns links para estudo:

Nossa equipa domina as mais modernas técnicas e ferramentas para, além de optimizar o desempenho do seu website e ajudar seu negócio a crescer e aparecer, pode ajudar a cuidar da segurança dos cabeçalhos do seu site.

 

Cuide da segurança dos cabeçalhos do seu site com <a href="/">mysitefaster.com</a>

Torne seu site mais rápido e seguro

Shopping Cart
WhatsApp
Scroll to Top