HTTP - सुरक्षा

HTTP का उपयोग इंटरनेट पर संचार के लिए किया जाता है, इसलिए एप्लिकेशन डेवलपर्स, सूचना प्रदाताओं और उपयोगकर्ताओं को HTTP / 1.1 में सुरक्षा सीमाओं के बारे में पता होना चाहिए। इस चर्चा में यहाँ वर्णित समस्याओं के निश्चित समाधान शामिल नहीं हैं, लेकिन यह सुरक्षा जोखिमों को कम करने के लिए कुछ सुझाव देता है।

व्यक्तिगत जानकारी रिसाव

HTTP क्लाइंट अक्सर बड़ी मात्रा में निजी जानकारी जैसे उपयोगकर्ता का नाम, स्थान, मेल पता, पासवर्ड, एन्क्रिप्शन कुंजी इत्यादि के लिए निजी होते हैं, इसलिए आपको अन्य स्रोतों से HTTP प्रोटोकॉल के माध्यम से इस जानकारी के अनजाने रिसाव को रोकने के लिए बहुत सावधानी बरतनी चाहिए।

  • सभी गोपनीय जानकारी को एन्क्रिप्टेड रूप में सर्वर पर संग्रहीत किया जाना चाहिए।

  • सर्वर के विशिष्ट सॉफ़्टवेयर संस्करण का खुलासा करने से सर्वर मशीन को सॉफ़्टवेयर के खिलाफ हमलों के लिए अधिक संवेदनशील बनने की अनुमति मिल सकती है जिसे सुरक्षा छेदों के लिए जाना जाता है।

  • नेटवर्क फ़ायरवॉल के माध्यम से एक पोर्टल के रूप में काम करने वाली प्रॉक्सी को हेडर जानकारी के हस्तांतरण के बारे में विशेष सावधानी बरतनी चाहिए जो फ़ायरवॉल के पीछे मेजबान की पहचान करती है।

  • 'से' फ़ील्ड में भेजी गई जानकारी उपयोगकर्ता की गोपनीयता हितों या उनकी साइट की सुरक्षा नीति के साथ संघर्ष कर सकती है, और इसलिए, इसे उपयोगकर्ता को अक्षम नहीं किया जाना चाहिए, ताकि वह फ़ील्ड की सामग्री को अक्षम, सक्षम और संशोधित कर सके।

  • यदि एक सुरक्षित प्रोटोकॉल के साथ संदर्भित पृष्ठ को स्थानांतरित किया गया था, तो ग्राहकों को एक (गैर-सुरक्षित) HTTP अनुरोध में एक रेफर हेडर फ़ील्ड शामिल नहीं करना चाहिए।

  • HTTP प्रोटोकॉल का उपयोग करने वाली सेवाओं के लेखकों को संवेदनशील डेटा जमा करने के लिए GET आधारित प्रपत्रों का उपयोग नहीं करना चाहिए, क्योंकि इससे डेटा अनुरोध-URI में एन्कोड हो जाएगा।

फ़ाइल और पथ नाम आधारित हमला

दस्तावेज़ को उन HTTP अनुरोधों द्वारा लौटाए गए दस्तावेज़ों तक ही सीमित रखा जाना चाहिए जो सर्वर प्रशासकों द्वारा लक्षित थे।

उदाहरण के लिए, यूनिक्स, माइक्रोसॉफ्ट विंडोज, और अन्य ऑपरेटिंग सिस्टम का उपयोग करते हैं '..'वर्तमान के ऊपर एक निर्देशिका स्तर को इंगित करने के लिए एक पथ घटक के रूप में। इस तरह की प्रणाली पर, एक HTTP सर्वर अनुरोध-यूआरआई में ऐसे किसी भी निर्माण को अस्वीकार कर देता है, अगर यह अन्यथा HTTP सर्वर के माध्यम से सुलभ होने के लिए बाहर उन संसाधनों तक पहुंच की अनुमति देगा।

डीएनएस स्पूफिंग

HTTP का उपयोग करने वाले ग्राहक डोमेन नाम सेवा पर बहुत भरोसा करते हैं, और इस प्रकार आमतौर पर आईपी पते और डीएनएस नामों के जानबूझकर गलत सहयोग के आधार पर सुरक्षा हमलों का खतरा होता है। तो ग्राहकों को एक आईपी नंबर / डीएनएस नाम संघ की निरंतर वैधता संभालने में सतर्क रहने की जरूरत है।

यदि HTTP क्लाइंट प्रदर्शन सुधार को प्राप्त करने के लिए होस्ट नाम लुक्स के परिणामों को कैश करते हैं, तो उन्हें DNS द्वारा बताई गई TTL जानकारी का अवलोकन करना चाहिए। यदि HTTP क्लाइंट इस नियम का पालन नहीं करते हैं, तो पहले से एक्सेस किए गए सर्वर के आईपी एड्रेस में बदलाव होने पर उन्हें खराब किया जा सकता है।

स्थान हेडर और स्पूफिंग

यदि एक एकल सर्वर कई संगठनों का समर्थन करता है जो एक-दूसरे पर भरोसा नहीं करते हैं, तो यह सुनिश्चित करने के लिए उक्त संगठनों के नियंत्रण में उत्पन्न प्रतिक्रियाओं में स्थान और सामग्री स्थान हेडर के मूल्यों की जांच करना चाहिए कि वे संसाधनों को अमान्य करने का प्रयास न करें। जिसका उन्हें कोई अधिकार नहीं है।

प्रमाणीकरण क्रेडेंशियल

मौजूदा HTTP क्लाइंट और उपयोगकर्ता एजेंट आमतौर पर प्रमाणीकरण जानकारी को अनिश्चित काल तक बनाए रखते हैं। HTTP / 1.1 सर्वर के लिए इन कैश्ड क्रेडेंशियल्स को छोड़ने के लिए क्लाइंट को निर्देशित करने के लिए एक विधि प्रदान नहीं करता है जो एक बड़ा सुरक्षा जोखिम है।

इस समस्या के कुछ हिस्सों के आसपास कई काम हैं, और इसलिए स्क्रीन सेवर, निष्क्रिय समय-समय और अन्य तरीकों से पासवर्ड सुरक्षा का उपयोग करने की सिफारिश की जाती है जो इस समस्या में निहित सुरक्षा समस्याओं को कम करते हैं।

प्रॉक्सी और कैशिंग

HTTP परदे के पीछे के पुरुष हैं, और मानव-में-मध्य हमलों के लिए एक अवसर का प्रतिनिधित्व करते हैं। प्रॉक्सी में सुरक्षा से संबंधित जानकारी, व्यक्तिगत उपयोगकर्ताओं और संगठनों के बारे में व्यक्तिगत जानकारी और उपयोगकर्ताओं और सामग्री प्रदाताओं से संबंधित स्वामित्व जानकारी तक पहुंच होती है।

प्रॉक्सी ऑपरेटरों को उन प्रणालियों की रक्षा करनी चाहिए जिन पर परदे के पीछे चलते हैं, क्योंकि वे किसी भी प्रणाली की रक्षा करते हैं जिसमें संवेदनशील जानकारी होती है या स्थानांतरित होती है।

कैशिंग प्रॉक्सी अतिरिक्त संभावित भेद्यता प्रदान करते हैं, क्योंकि कैश की सामग्री दुर्भावनापूर्ण शोषण के लिए एक आकर्षक लक्ष्य का प्रतिनिधित्व करती है। इसलिए, कैश सामग्री को संवेदनशील जानकारी के रूप में संरक्षित किया जाना चाहिए।