Какие заголовки HTTP используются на сайтах отечественных компаний по ИБ

Какие заголовки HTTP используются на сайтах отечественных компаний по ИБ

В прошлом году я затеял проект, который хочу в ближайшее время завершить и о котором, я не хотел особо писать до момента его завершения. Но раз уж я на протяжении двух дней писал о HTTPS, то я подумал, что стоит превратить диптих в триптих и немного коснуться вопроса применения HTTPS на сайтах российских компаний, занимающихся информационной безопасностью. Таких компаний на текущий момент времени в мою базу попало уже 242 (и это число постоянно растет), так что можно говорить о достаточно большой выборке.

Фрагмент списка российских компаний по информационной безопасности

 

Так вот у некоторых компаний, которые занимаются как разработкой средств защиты, так и оказанием различных услуг по информационной безопасности, включая проектирование систем в защищенном исполнении, сайты не поддерживают HTTPS в принципе или он не настроен должным образом. И фиг с ним, что такие компании нормально не будут ранжироваться в поисковой системе (если у сайта отсутствует HTTPS, то и Google и Яндекс понижают их в поисковой выдаче) — это их бизнес и если они не понимают важности правильного позиционирования себя в Интернет, то и ладно. Но когда компания, занимающаяся ИБ, даже не подумала о том, чтобы поднять хотя бы бесплатный сертификат (я не говорю о платных SSL-сертификатах и тем более о гостовых SSL-сертификатах) у себя на сайте, то это полный пипец.

Вот так часто выглядят результаты сканирования сайтов российских разработчиков, которые «забыли» про защиту своих Интернет-представительств (а некоторые на таких сайтах даже личные кабинеты для клиентов устраивают, подвергая их логины и пароли риску утечки):

Отсутствие HTTPS на сайте российского разработчика межсетевых экранов
Помимо наличия HTTPS сайт, как витрина компании по ИБ, показывает как она относится к пословице «сапожник без сапог». Если проанализировать с помощью сервиса SecurityHeaders сайт, то он покажет, какие из заголовков HTTP настроены и как это влияет на безопасность как самого сайта, так и его пользователей. Например, отказ от использования заголовка Content-Security-Policy может облегчить организацию XSS-атак. Поэтому стоит задуматься не только о наличии HTTPS, но и о правильных настройках HTTP. Например, сайт одного из лидеров российского рынка ИБ выглядит не очень — на нем настроен только HTTPS, но ни один из заголовков HTTP.

Не очень хорошо настроенный HTTPS на сайте одного из лидеров российского рынка ИБ

Один российский лицензиат ФСБ и разработчик VPN-решений на своем сайте поднял уровень защите выше на один пункт:

Настройки HTTPS на сайте отечественного разработчика VPN-решений

А вот другой лицензиат ФСБ и именитый разработчик СКЗИ, даже имея HTTPS на своем сайте, не настроил его должным образом и скатился на самую нижнюю позицию рейтинга согласно SecurityHeaders:

Настройки HTTPS на сайте отечественного разработчика VPN-решений

Удостоверяющие центры, выдающие сертификаты своим клиентам сотнями тысяч, часто выглядят вот так:

Настройки HTTPS на сайте отечественного удостоверяющего центра

Сайтов даже уровня B среди российских игроков рынка ИБ очень мало. Вот один из редких примеров:

Настройки HTTPS на сайте отечественного разработчика средств ИБ

В идеале, путем нехитрых манипуляция с настройками сайта (даже на чужом хостинге) можно добиться вот таких настроек, которые, позволяют защититься от XSS-атак (заголовок Content-Security-Policy), от сниффинга со стороны браузера (заголовок X-Content-Type-Options), от сбора лишней информации браузером (заголовок Referrer-Policy) и от атак clickjacking (заголовок X-Frame-Options):

Настройки HTTPS сайта lukatsky.ru

На самом деле, можно, добавив заголовок Permission-Policy (контроль использования различных функций и API в браузере), добиться уровня А+, но это уже избыточно на мой взгляд.

Сам себя не похвалишь, никто не похвалит ????

Нельзя сказать, что все эти настройки заголовков HTTP прям критичны и от них на 100% зависит безопасность сайта. Но для компании по ИБ, которая заявляет о своем лидерстве в области кибербезопасности (а об этом заявляют все), это должно, на мой взгляд, стать правилом хорошего тона. Тем более, что ничего сложного в этом нет (раз уж даже я, «бумажный безопасник», все это смог настроить).

По статистике SecurityHeaders, всего 1% сайтов в Интернет имеет рейтинг А+, 10% — рейтинг А. 50% сайтов имеют рейтинг F. Остальные сайты распределены между рейтингами B, C, D и E.

А вообще, все это не так уж и важно. Ведь существовали вы раньше с рейтингом D и ничего, никто вас не взламывал (наверное). Почему бы и дальше не существовать также?..

Заметка Какие заголовки HTTP используются на сайтах отечественных компаний по ИБ была впервые опубликована на Бизнес без опасности .

Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

SOC как супергерой: не спит, не ест, следит за безопасностью!

И мы тоже не спим, чтобы держать вас в курсе всех угроз

Подключитесь к экспертному сообществу!