We scanned 10 well-known sites with our security tool. Here's what we found.
ابزار SecURL به صورت غیرفعال وضعیت امنیتی بیرونی ۱۰ سایت معروف را اسکن کرد. نتایج نشان میدهد بیشتر این سایتها هدرهای امنیتی مهم مثل COOP و CORP را ندارند و تنظیمات HSTS و CSP آنها ناقص است. گاردین با نمره ۷۲ از ۱۰۰ بیشترین هشدار را داشت که به خاطر وابستگی به سرویسهای تبلیغاتی و شخص ثالث بود.
چرا مهمه؟
این اسکنها نشان میدهد که حتی سایتهای بزرگ و معروف از نظر امنیت بیرونی نقصهای عمدهای دارند. کاربران این سایتها در معرض حملات جانبی مرورگر مانند Spectre هستند. تیمهای امنیتی باید پیادهسازی هدرهای ایزوله و تقویت HSTS را جدی بگیرند. برای خواننده مهم است بداند که شهرت یک سایت تضمینکننده امنیت کامل نیست و با ابزارهای ساده میتوان آسیبپذیریهای پنهان را دید.
به درد کی میخوره؟
• متخصصان امنیت سایبری • توسعهدهندگان وب (فرانتاند و بکاند) • مدیران فنی و تیمهای DevOps • روزنامهنگاران و محققان حوزه امنیت
تو عمل چی کار کنیم؟
مخاطبان میتوانند سایت خود را با ابزار رایگان SecURL اسکن کنند و نقصهای امنیتی بیرونی را فوراً ببینند. با رفع هدرهای COOP و CORP و تنظیم دقیق HSTS و CSP میتوانند امنیت سایت را در برابر حملات مرورگری بالا ببرند. این کار نیاز به تخصص بالایی ندارد و در چند دقیقه انجام میشود.
نظر BlueIT News
Blue IT News هشدار میدهد: امنیت فقط به لایه درونی محدود نیست. نبود هدرهای ایزوله در سایتهای بزرگ نشان میدهد که هنوز این استانداردها جدی گرفته نشدهاند. ابزارهایی مثل SecURL شکاف را نمایان میکنند، اما عمل به توصیههای آن ضروری است.