Bezpečnost webu – co lze v Nette, co už ne

Upozornění: Tohle vlákno je hodně staré a informace nemusí být platné pro současné Nette.
blaztar
Člen | 93
+
0
-

Zdravím..

Zkoušel jsem si projet své ‚domácí‘ projekty skrz web nástroj Mozilly, která asi nějak zkoumá bezpečnost a vlastně často mám skóre 0/100. (příklad kde mám teda nějakej ten bod).

Teď otázka. Je nějaké ‚snadná‘ cesta jak dosáhnout bezpečnějšího webu (lepšího skóre) skrz nastavení Nette aplikace? Nebo je to ve větší míře o hostingu a jeho nastavení. Nejspíš to bude kombinace obojího.

Třeba v projektu componette (hezké skóre 75/100) je v configu toto:

http:
    headers:
        X-XSS-Protection: "1; mode=block"

Je to užitečné?

A právě skrz to mě napadlo, jestli toho není víc, co by dalo nastavit třeba v configu.

Editoval blaztar (29. 8. 2016 15:24)

Felix
Nette Core | 1183
+
+4
-

blaztar napsal(a):
Třeba v projektu componette (hezké skóre 75/100) je v configu toto:

To je skoro na hvezdicku na githubu. ;-)

CZechBoY
Člen | 3608
+
0
-

@blaztar ten sken skenuje spíš http a https bezpečnost, což je spíš záležitost hostingu.
Ty by ses měl spíš zaměřit na bezpečnost svoji aplikace (xss, csrf, sql injection atd.) a na to jsou specializovaný software a dokonce se tím zabývají i specializované firmy.

blaztar
Člen | 93
+
0
-

Felix napsal(a):
To je skoro na hvezdicku na githubu. ;-)

Je tam. .)

CZechBoY napsal(a):
@blaztar ten sken skenuje spíš http a https bezpečnost, což je spíš záležitost hostingu.
Ty by ses měl spíš zaměřit na bezpečnost svoji aplikace (xss, csrf, sql injection atd.) a na to jsou
specializovaný software a dokonce se tím zabývají i specializované firmy.

Jo dík za info, zas tak mě to netrápí (zkrs ty spešl programy a firmy), spíš jsem byl zvědaví. :)

Editoval blaztar (29. 8. 2016 17:03)

srigi
Nette Blogger | 558
+
+1
-

Ked chces vylepsit toto skore odporucam clanok od uja vlada.

harmim
Člen | 26
+
+3
-

@blaztar Ten nástroj observatory.mozilla.org neznám, ale vypadá to, že přiděluje nějaké body za bezpečnostní HTTP hlavičky. Pokud tě zajímá, co která hlavička dělá a jak je správně nastavit, tak doporučuji podívat se na nějaké přednášky o tomto tématu od Michala Špačka např. https://www.michalspacek.cz/…apod-phplive

Felix
Nette Core | 1183
+
+2
-

@spaze Pracuje na nejakem CSP rozsireni pro Nette. Nicmene, ja uz na par projektech pouzival take neco. Tak to vydam a uvidime.

Stay tuned!