Bezpečnost webu – co lze v Nette, co už ne
- blaztar
- Člen | 93
Zdravím..
Zkoušel jsem si projet své ‚domácí‘ projekty skrz web nástroj Mozilly, která asi nějak zkoumá bezpečnost a vlastně často mám skóre 0/100. (příklad kde mám teda nějakej ten bod).
Teď otázka. Je nějaké ‚snadná‘ cesta jak dosáhnout bezpečnějšího webu (lepšího skóre) skrz nastavení Nette aplikace? Nebo je to ve větší míře o hostingu a jeho nastavení. Nejspíš to bude kombinace obojího.
Třeba v projektu componette (hezké skóre 75/100) je v configu toto:
http:
headers:
X-XSS-Protection: "1; mode=block"Je to užitečné?
A právě skrz to mě napadlo, jestli toho není víc, co by dalo nastavit třeba v configu.
Editoval blaztar (29. 8. 2016 15:24)
- Felix
- Nette Core | 1245
blaztar napsal(a):
Třeba v projektu componette (hezké skóre 75/100) je v configu toto:
To je skoro na hvezdicku na githubu. ;-)
- blaztar
- Člen | 93
Felix napsal(a):
To je skoro na hvezdicku na githubu. ;-)
Je tam. .)
CZechBoY napsal(a):
@blaztar ten sken skenuje spíš http a https bezpečnost, což je spíš záležitost hostingu.
Ty by ses měl spíš zaměřit na bezpečnost svoji aplikace (xss, csrf, sql injection atd.) a na to jsou
specializovaný software a dokonce se tím zabývají i specializované firmy.
Jo dík za info, zas tak mě to netrápí (zkrs ty spešl programy a firmy), spíš jsem byl zvědaví. :)
Editoval blaztar (29. 8. 2016 17:03)
- harmim
- Člen | 26
@blaztar Ten nástroj observatory.mozilla.org neznám,
ale vypadá to, že přiděluje nějaké body za bezpečnostní HTTP hlavičky.
Pokud tě zajímá, co která hlavička dělá a jak je správně nastavit, tak
doporučuji podívat se na nějaké přednášky o tomto tématu od Michala
Špačka např. https://www.michalspacek.cz/…apod-phplive