websikkerhed

Forslag standardiserer sikkerhedsinformation for websteder

Dansk

Sikkerhedsforsker Edwin Foudil står bag forslaget "A Method for Web Security Policies", som er indleveret til IETF (Internet Engineering Task Force). Formålet er at gøre det lettere for sikkerhedsforskere at kommunikere med folkene bag websteder, når de opdager sikkerhedsproblemer.

Han foreslår, at et websted kan offentliggøre en fil ved navn "Security.txt" på serverens rodniveau. I filen er der fire afsnit: Contact, Encryption, Disclosure og Acknowledgement.

Mange proxy-servere og load balancere er sårbare

Dansk

Sikkerhedsforsker James Kettle fra Portswigger Web Security har fundet en række websteder med sikkerhedsproblemer. Sårbarhederne ligger i den måde, de bruger reverse proxy-servere eller load balancere på.

En reverse proxy tager imod forespørgsler fra en web-browser og sender dem videre til en bagvedliggende webserver. Svar fra serveren sendes retur til browseren.

Standardforslag krypterer websider

Dansk

Forslaget, RFC 8188 HTTP Encryption Coding, skal gøre det muligt at kryptere indholdet af en HTTP-meddelelse. Det kan bruges til både forespørgsler og svar.

Der findes allerede kryptering af HTTP i form af TLS (Transport Layer Security). Men TLS beskytter kun data, mens de sendes mellem klient og server. Formålet med RFC 8188 er også at beskytte data, når de ligger på serveren.

Ifølge forslaget skal krypteringen ske med den symmetriske krypteringsalgoritme AES (Advanced Encryption Standard) i Galois/Counter Mode (GCM).

Websikkerhed

Hvordan beskytter jeg min webside?

Din webside ligger sandsynligvis på et webhotel. Udbyderen er ansvarlig for sikkerheden på selve webhotellet. Hvis du har installeret programmer på serveren, er du selv ansvarlig for at holde dem opdateret og sikre. Det gælder også udvidelser og plugins til CMS'er (Content Management System). Sørg for at tage backup, så du kan gendanne data, hvis det bliver nødvendigt.

Hvad er SQL-indsætning?

SQL-indsætning er en udbredt form for sårbarhed i web-applikationer. Den giver angribere mulighed for at afvikle databasekommandoer.

Dansk
Abonnér på RSS - websikkerhed