Considerazioni PCI per le intestazioni HTTP? [chiuso]

0

Recentemente, alcuni dei nostri server sono stati segnalati per non aver implementato le intestazioni HTTP appropriate in una scansione Qualys.

Uno dei siti che visito regolarmente: link ha implementato alcuni buoni header HTTP:

HTTP/1.1    200 OK
Date    Mon, 26 Jun 2017 23:05:15 GMT
Content-Type    text/html; charset=UTF-8
Transfer-Encoding   chunked
Connection  keep-alive
Set-Cookie  __cfduid=d7bd211d03cddfc95f5d3b27f75db3e151498518314; expires=Tue, 26-Jun-18 23:05:14 GMT; path=/; domain=.pentestit.com; HttpOnly
X-XSS-Protection    1;mode=block
Referrer-Policy no-referrer-when-downgrade
Link    <http://wp.me/8tJeS>; rel=shortlink
Vary    Accept-Encoding
X-Mod-Pagespeed pentestit.com
Cache-Control   max-age=0, no-cache, no-store, must-revalidate
X-Content-Type-Options  nosniff
X-Frame-Options SAMEORIGIN
X-UA-Compatible IE=Edge,chrome=1
Pragma  no-cache
Content-Language    en
Server  cloudflare-nginx
CF-RAY  3753cf6c01ed6c88-SJC

Ad eccezione di Content-Security-Policy, sembra che stia facendo tutto correttamente.

Quali sono le tue opinioni sull'essere fallito per intestazioni HTTP errate? Ho provato a cercare informazioni relative a questo, ma non sono riuscito a trovare nulla.

Penso che questo dovrebbe essere un errore PCI in quanto tende a seguire la top 10 di OWASP che ha una Configurazione errata di A5-Security ( link ).

La mia domanda è - dovrei essere fallito per non aver implementato le intestazioni HTTP e NOT HTTPS corrette? Sto facendo tutte le altre cose correttamente, ma mancano alcune intestazioni HTTP.

    
posta Metahuman 27.06.2017 - 01:20
fonte

1 risposta

1

Alcune intestazioni sono un problema più grande di altre. ad es., se non hai intenzione di pubblicare alcun browser IE, non mi preoccuperei molto di X-Content-Type-Options: no-sniff.

L'efficacia di alcuni è discutibile. ad es. X-XSS-Protection (ho appena provocato un commento war? :)).

Alcune intestazioni sono sicuramente utili quasi per ogni applicazione. ad esempio, HTTPOnly; secure

Altre intestazioni sono importanti in base alla sensibilità della tua applicazione, ad esempio, strict-transport-security.

In generale però, la maggior parte di queste sono protezioni di sicurezza a bassa barriera (CSP e HSTS / HPKP hanno bisogno di preparazione, sì) e non ci sono buone ragioni per non usarle.

    
risposta data 27.06.2017 - 05:47
fonte

Leggi altre domande sui tag