Mettiamoci la testa

Hai mai sentito l’affermazione “un pesce marcisce dalla testa”?

Questa frase è spesso usata per incolpare la leadership del fallimento di un’organizzazione, ma può anche essere usata per descrivere un sito web o un’applicazione web difettosi: parafrasando lo stesso concetto, potremmo dire che piattaforme web potenzialmente non sicure possono essere viste dalle loro Intestazioni di risposta HTTP.

È un dato di fatto, sebbene ci siano molte cose che possono essere fatte per proteggere un sito web, le intestazioni di sicurezza HTTP saranno sempre un buon punto di partenza, per una serie di motivi:

Sono davvero facili da implementare e richiedono lievi modifiche alla configurazione.
Hanno un ottimo rapporto costi-benefici: saremo in grado di aumentare notevolmente il livello di sicurezza del nostro sito web in meno di 5 minuti.
Mitigheranno efficacemente gli attacchi e impediranno il dirottamento del tuo sito web.
Al giorno d’oggi sono assolutamente necessari per superare i test di penetrazione, le scansioni delle vulnerabilità, le valutazioni dei rischi, le liste di controllo per la sicurezza dei dati e qualsiasi altro controllo IT decente.


In questo post faremo del nostro meglio per spiegare come funzionano e perché ne abbiamo bisogno:

Ecco i più importanti:

X-Frame-Options : protegge dal ClickJacking impedendo a FRAMES e IFRAMES di caricarsi sul tuo sito da fonti specifiche (ad esempio, diversi server web).

HTTP Strict Transport Security (HSTS) : indica al browser Web di accedere al server Web solo tramite HTTPS, garantendo così che ogni connessione venga stabilita solo attraverso canali sicuri.

X-XSS-Protection : protegge da XSS (aka Cross-Site Scripting ) abilitando un filtro specifico integrato nella maggior parte dei browser moderni: sebbene sia abilitato di default con impostazioni decenti, è meglio abilitarlo (e configurarlo) esplicitamente per rafforzare il nostro web sito ancora di più.

X-Content-Type-Options : impedisce al browser di scaricare, visualizzare e/o eseguire una risposta diversa dal tipo di contenuto previsto e dichiarato , riducendo così il rischio di eseguire software dannoso o scaricare file dannosi.
Content Security Policy : previene attacchi come XSS (aka Cross-Site Scripting ) e altri attacchi basati sull’iniezione di codice definendo quale contenuto il browser dovrebbe caricare e quale no.

Public-Key-Pins : indica al browser Web di utilizzare una chiave pubblica per connettersi al server Web al fine di prevenire attacchi di tipo Man-In-The-Middle forniti utilizzando certificati X.509 non autorizzati, falsi, contraffatti o compromessi aggiungendo un altro livello di sicurezza.

La prima cosa che dovremmo fare è controllare il nostro sito web prima di apportare qualsiasi modifica, per avere un’idea di come stanno le cose attualmente.

securityheaders.io di Scott Helme

un bel sistema di valutazione che potrebbe aiutarci a capire quanto siamo protetti (o meno).

Se il tuo sito web non ha intestazioni di sicurezza, molto probabilmente ti ritroverai con una valutazione F grave

Nella nostra azienda implementiamo e aggiorniamo costantemente le misure di sicurezza per fornire ai nostri clienti una piattaforma avanzata e sicura anche a chi si affida alle nostre soluzioni più economiche.
Se sei già nostro cliente puoi dormire sonni tranquilli, c’è già chi ci pensa.

Siamo però convinti che ai nostri utenti più smaliziati verranno utili le spiegazioni tecniche per capire più a fondo i meccanismi e il valore dei prodotti che offriamo.