HTTP - Güvenlik
HTTP, internet üzerinden iletişim için kullanılır, bu nedenle uygulama geliştiricileri, bilgi sağlayıcılar ve kullanıcılar HTTP / 1.1'deki güvenlik sınırlamalarının farkında olmalıdır. Bu tartışma, burada bahsedilen sorunlara kesin çözümler içermiyor ancak güvenlik risklerini azaltmak için bazı önerilerde bulunuyor.
Kişisel Bilgi Sızıntısı
HTTP istemcileri genellikle kullanıcının adı, konumu, posta adresi, şifreleri, şifreleme anahtarları vb. Gibi büyük miktarda kişisel bilgiye sahiptir. Bu nedenle, bu bilgilerin HTTP protokolü aracılığıyla diğer kaynaklara kasıtsız olarak sızmasını önlemek için çok dikkatli olmalısınız.
Tüm gizli bilgiler sunucuda şifrelenmiş biçimde saklanmalıdır.
Sunucunun belirli yazılım sürümünü ortaya çıkarmak, sunucu makinesinin güvenlik açıkları içerdiği bilinen yazılıma karşı saldırılara karşı daha savunmasız hale gelmesine olanak sağlayabilir.
Bir ağ güvenlik duvarı aracılığıyla portal görevi gören proxy'ler, güvenlik duvarının arkasındaki ana bilgisayarları tanımlayan başlık bilgilerinin aktarılmasıyla ilgili özel önlemler almalıdır.
'Kimden' alanına gönderilen bilgiler, kullanıcının gizlilik çıkarları veya sitelerinin güvenlik politikasıyla çelişebilir ve bu nedenle, kullanıcı alanın içeriğini devre dışı bırakma, etkinleştirme ve değiştirme olanağı olmadan iletilmemelidir.
Yönlendiren sayfa güvenli bir protokolle aktarıldıysa, istemciler (güvenli olmayan) bir HTTP isteğine Yönlendiren başlık alanı eklememelidir.
HTTP protokolünü kullanan hizmetlerin yazarları, hassas verilerin gönderimi için GET tabanlı formlar kullanmamalıdır, çünkü bu, verilerin İstek-URI'de kodlanmasına neden olacaktır.
Dosya ve Yol Adlarına Dayalı Saldırı
Belge, HTTP istekleriyle döndürülen belgelerle, yalnızca sunucu yöneticilerinin tasarladığı belgelerle sınırlandırılmalıdır.
Örneğin, UNIX, Microsoft Windows ve diğer işletim sistemleri '..'geçerli olanın üzerindeki bir dizin seviyesini belirtmek için bir yol bileşeni olarak. Böyle bir sistemde, bir HTTP sunucusu, HTTP sunucusu aracılığıyla erişilmesi amaçlananlar dışındaki bir kaynağa erişime izin verecekse, İstek-URI'sindeki bu tür herhangi bir yapıya izin VERMEMELİDİR.
DNS Sahtekarlığı
HTTP kullanan istemciler büyük ölçüde Etki Alanı Adı Hizmetine bağlıdır ve bu nedenle genellikle IP adresleri ile DNS adlarının kasıtlı olarak yanlış ilişkilendirilmesine dayanan güvenlik saldırılarına eğilimlidir. Bu nedenle, istemcilerin bir IP numarası / DNS adı ilişkisinin devam eden geçerliliğini varsayarken dikkatli olması gerekir.
HTTP istemcileri, bir performans iyileştirmesi elde etmek için ana bilgisayar adı aramalarının sonuçlarını önbelleğe alırsa, DNS tarafından bildirilen TTL bilgilerini gözlemlemeleri gerekir. HTTP istemcileri bu kurala uymazlarsa, önceden erişilmiş bir sunucunun IP adresi değiştiğinde sahte olabilirler.
Konum Üstbilgileri ve Adres Sahteciliği
Tek bir sunucu birbirine güvenmeyen birden fazla kuruluşu destekliyorsa, bu kuruluşların kontrolü altında oluşturulan yanıtlarda Konum ve İçerik Konumu başlıklarının değerlerini kontrol ederek kaynakları geçersiz kılmaya çalışmadıklarından emin OLMALIDIR. ki hiçbir yetkileri yoktur.
Kimlik Doğrulama Kimlik Bilgileri
Mevcut HTTP istemcileri ve kullanıcı aracıları genellikle kimlik doğrulama bilgilerini süresiz olarak tutar. HTTP / 1.1, bir sunucunun istemcileri bu önbelleğe alınmış kimlik bilgilerini atmaya yönlendirmesi için bir yöntem sağlamaz, bu da büyük bir güvenlik riski oluşturur.
Bu sorunun bazı kısımlarına yönelik birkaç çözüm vardır ve bu nedenle, ekran koruyucularda, boşta kalma zaman aşımlarında ve bu soruna özgü güvenlik sorunlarını azaltan diğer yöntemlerde parola korumasının kullanılması önerilir.
Proxy'ler ve Önbelleğe Alma
HTTP proxy'leri ortadaki adamlardır ve ortadaki adam saldırıları için bir fırsatı temsil eder. Proxy'lerin güvenlikle ilgili bilgilere, bireysel kullanıcılar ve kuruluşlar hakkındaki kişisel bilgilere ve kullanıcılara ve içerik sağlayıcılara ait özel bilgilere erişimleri vardır.
Proxy operatörleri, hassas bilgiler içeren veya aktaran herhangi bir sistemi koruyacaklarından, proxy'lerin çalıştığı sistemleri korumalıdır.
Önbelleğe alma proxy'leri, önbelleğin içeriği kötü amaçlı kullanım için çekici bir hedef oluşturduğundan, ek olası güvenlik açıkları sağlar. Bu nedenle, önbellek içeriği hassas bilgiler olarak korunmalıdır.