Geschreven door: Stefanie Weber

Met het installeren van een SSL certificaat op de server bent u al een heel eind op weg naar online veiligheid voor u en uw klanten. Maar denkt u dat het beter kan, dan helpen wij u een eindje verder op weg met enkele veelgebruikte online scans voor uw servers en instellingen. Zo maken we samen het internet nog een stukje veiliger.

Hoofdstuk 2: securityheaders.io
Online security expert Scott Helme is geen kleine naam binnen het online security wereldje. Zijn blog wordt wereldwijd gelezen en geprezen, hij is een veelgevraagd spreker op security events, en zijn scanners worden veelvuldig gebruikt. Één daarvan is de security headers scanner securityheaders.io.

Securityheaders.io scant een opgegeven website en controleert de HTTP response headers. Deze response headers worden door de server teruggestuurd aan de browser wanneer een website bezocht wordt, en bevatten data over de website en de server. Aan de hand van de resultaten geeft de scanner een cijfer, en tips om de headers te verbeteren. De scanner lijkt hierin veel op die van SSL Labs, maar controleert niet op SSL en server security. In plaats daarvan controleert het de security headers en settings.

Headers
a-plus-rating
De scan controleert op 6 headers. Daarnaast checkt het ook bijbehorende settings in de headers en andere informatie die wordt meegegeven.

  • Strict-Transport-Security dwingt het gebruik van HTTPS af. Wanneer een website wordt benaderd vanaf de HTTP-URL wordt de gebruiker automatisch doorgeschakeld naar de HTTPS-versie.
  • X-XSS-Protection is een header die cross-site scripting kan voorkomen.
  • X-Content-Type-Options helpt voorkomen dat een bestandstype ge-MIME-sniffed kan worden en dwingt een browser in plaats daarvan om het daadwerkelijke bestandstype aan te houden.
  • X-Frame-Options geeft aan of een website wel of niet gebruik mag maken van iframes. Zo kan bijvoorbeeld clickjacking worden voorkomen.
  • Public-Key-Pins beschermt websites tegen Man-in-the-Middle aanvallen.
  • Content-Security-Policy beschermt websites tegen cross-site scripting door een whitelist op te stellen van bronnen waarvandaan gelinkt mag worden.

additional-information

Onderaan de scan wordt tekst en uitleg gegeven over de resultaten en wordt doorgelinkt naar blogartikelen op het blog van Helme zelf die exact aangeven hoe de headers voor verschillende serversoftware-pakketten kunnen worden ingesteld en geconfigureerd.

Daarnaast wordt bij de scan bijvoorbeeld ook gekeken naar de informatie die bekend is over de server: bij een goed geconfigureerde server is bijvoorbeeld hoogstens uit te lezen op welk platform de server draait en niet op welke versie. Wanneer een hacker kan uitlezen welke versie gebruikt wordt kan er veel gemakkelijker een gerichte aanval op de server worden uitgevoerd.

Niet de heilige graal
Security headers lijken een enorme boost te kunnen geven aan de veiligheid van een website, maar dat is gedeeltelijk schone schijn: niet alle browsers gaan even goed om met alle HTTP response headers. Zo kunnen de browsers van Microsoft, Internet Explorer en Microsoft Edge, niet omgaan met HPKP-headers. Ook Safari heeft deze response header niet ingebouwd. Van de meest gebruikte browsers is er maar één die kan omgaan met de cross-site scripting header: Internet Explorer.

Daarnaast is de implementatie van de response headers niet zo simpel als dat het soms lijkt. Wie aan de slag wil met deze veiligheidsmaatregelen, zal zich eerst moeten inlezen in de materie. Gelukkig biedt Scott Helme daar ook uitkomst. De blog artikelen die gelinkt worden onder de scan leggen zeer uitgebreid uit hoe een security header geïmplementeerd kan worden, wat de gevaren kunnen zijn van een foute implementatie, en hoe er gecontroleerd kan worden of de headers goed staan. Ook legt hij vaak voor meerdere soorten serversoftware de implementatie uit, zodat alle informatie bij elkaar staat.

HTTP response headers vormen een belangrijke barrière tegen de gevaren van het internet. Door deze goed te implementeren, en regelmatig te controleren via een scanner als securityheaders.io, bent u een flinke stap verder naar een goede bescherming van uw data en die van uw klanten.

Volgende keer bekijken we een aantal verschillende scanners die u kunnen helpen uw DNS settings te verbeteren.


Deel artikel via: