הוספת headers לאבטחת האתר עם קלאודפלייר

עם קלאודפלייר ממש קל להוסיף Headers כרצוננו להגברת אבטחת האתר או למניעת בושות.

רן בר-זיק
דצמבר 20, 2021
קטגוריה: פתרונות ומאמרים על פיתוח אינטרנט
תגיות: תשתית
תגובה אחת

לפני כמה ימים היו לי (כרגיל) בושות בקורס שאני מרצה בו בקריה האקדמית אונו באבטחת מידע. לימדתי על Headers בכל הנוגע לאבטחת מידע והסברתי גם על אתרים שבודקים Security headers. כמו למשל https://securityheaders.com המצוין שעוזר מאוד בכל נושא הבדיקות. מה רבה הפתעתי כשהסטודנטים הערמומיים בדקו את האתר שלי (כלומר האתר הזה) וגילו שהוא קיבל ציון F אדום ומביך. 😱😭

"אבל הי!" זעקתי מרה, "התקנתי תוסף והגדרות שיעזרו לי עם זה!". וזה נכון, עשיתי את זה באמצעות תוסף וורדפרס, אבל מתישהו, כאשר עשיתי מיגרציה לאמזון, זה לא עבד או לא עבר טוב. גם העברתי את האתר לקלאודפלייר וגם זה די חסם את ה-Headers.

חלקכם עכשיו לא מבינים מה אני רוצה מהם בכל הנוגע ל-headers. אז הנה הרצאה שעשיתי בנושא במיטאפ הנהדר של Negev web developers:

וגם מאמרים שכתבתי בנושא – חלק א', חלק ב'. הם יזכירו לכם מה זה headers ולמה הם חשובים לאבטחת האתר ומה המשמעות שלהם.

בד"כ בוורדפרס אנחנו יכולים להוסיף את ה-headers בקלות עם תוסף או htaccess. אבל אם אנחנו מפעילים את האתר מאחורי קלאודפלייר – שהוא פיירוול ו-reverse proxy אולטרא פופולרי ושימושי, אז אפשר בקלות להוסיף או להסיר headers באמצעות הממשק של קלאודפלייר! כמה דקות ואתם תהיו מסודרים.

אז איך? מבצעים לוגין לקלאודפלייר ובוחרים באתר שלכם. מייד אחרי כן, מחפשים את transform rules.

כשמגיעים למסך הבא אנו נבחר ב"יצירת transform rule" ונבחר ב-Modify Response Header. כיוון שאנו רוצים לקבוע כיצד התגובה של השרת תשתנה.

השלב הבא הוא יצירת ה-rule. מאוד חשוב לבחור לו שם וכן תנאי. התנאי יכול להיות סתמי – כמו למשל HTTPS בלבד. וכמובן להכניס את כל ה-headers שאנו רוצים.

אנו יכולים לבחור ב-Set Static ולהכניס את הערכים השונים ל-headers שאנו רוצים. אנו יכולים גם למחוק headers שאנו לא מעונינים בהם – כמו ה-header הערל והמשוקץ "x-powered-by", ארור שמו וארור זכרו.

אחרי ששומרים, לשים לב שה-rule עובד ויש לידו V ירוק וחביב. אין צורך לנקות את ה-cache. ה-headers מייד יכנסו לפעולה.

העניין הזה רק מראה כמה שימוש בקלאודפלייר הוא חשוב – מעבר ליתרונות הרבים שיש לו בעניין אבטחת מידע ושרידות האתר (הוא מאפשר לנו לעבור לשרת אחר בשניות למשל) – הוא מאפשר לנו בקלות ומבלי להתערב בעניין האפליקטיבי ליישם Headers שימושיים, כמו זה.

עכשיו יש לי באתר הבדיקה ציון A שיישמר כנראה כל עוד אני משתמש בקלאודפלייר. למה לא ציון A+? כי וורדפרס והעורך שלהם מחייבים unsafe-eval ב-CSP. איך אפשר להמנע מזה? אפשר, אני אסביר במאמר הבא.

נ.ב

הייתי בטוח שכתבתי פוסט על קלאודפלייר ולמה נורא חשוב לעבוד איתו. יש מצב שהוא הלך לאיבוד איכשהו. אנסה לשחזר ולהעלות מחדש.

אהבתם את התוכן שלי? נסו את ספרי הלימוד שלי

פרויקט ספרי לימוד התכנות שלי עם אלפי קוראים ותמיכה של חברות מובילות נועד לאפשר לכל אחד ואחת ללמוד תכנות מעשי

לחצו כאן

ללמוד תכנות בעברית

ללמוד תכנות מעשי מאפס, בעברית ובקלות עם הספר שלי ״ללמוד ג׳אווהסקריפט בעברית״

לחצו כאן

פוסטים נוספים שכדאי לקרוא

DALL·E 2024-09-06 12.34.24 - A visually engaging post about Python and cryptographic problems. The image should feature a dark-themed background with a glowing, futuristic Python

פתרונות ומאמרים על פיתוח אינטרנט

בעיות במימוש של פונקציות קריפטוגרפיות בפייתון

היום (16 לספטמבר) ממש, אני מעביר הרצאה ב-PyconIL 2024 על בעיות קריפטוגרפיות באפליקציות פייתון. לצערי אי אפשר להכניס את כל הבעיות הקריפטוגרפיות להרצאה אחת או

ספטמבר 16, 2024 תגובה אחת