Какие заголовки HTTP используются на сайтах отечественных компаний по ИБ

Дата: 03.02.2022. Автор: Алексей Лукацкий. Категории: Блоги экспертов по информационной безопасности
Какие заголовки HTTP используются на сайтах отечественных компаний по ИБ

В прошлом году я затеял проект, который хочу в ближайшее время завершить и о котором, я не хотел особо писать до момента его завершения. Но раз уж я на протяжении двух дней писал о HTTPS, то я подумал, что стоит превратить диптих в триптих и немного коснуться вопроса применения HTTPS на сайтах российских компаний, занимающихся информационной безопасностью. Таких компаний на текущий момент времени в мою базу попало уже 242 (и это число постоянно растет), так что можно говорить о достаточно большой выборке.

Какие заголовки HTTP используются на сайтах отечественных компаний по ИБ
Фрагмент списка российских компаний по информационной безопасности

 

Так вот у некоторых компаний, которые занимаются как разработкой средств защиты, так и оказанием различных услуг по информационной безопасности, включая проектирование систем в защищенном исполнении, сайты не поддерживают HTTPS в принципе или он не настроен должным образом. И фиг с ним, что такие компании нормально не будут ранжироваться в поисковой системе (если у сайта отсутствует HTTPS, то и Google и Яндекс понижают их в поисковой выдаче) — это их бизнес и если они не понимают важности правильного позиционирования себя в Интернет, то и ладно. Но когда компания, занимающаяся ИБ, даже не подумала о том, чтобы поднять хотя бы бесплатный сертификат (я не говорю о платных SSL-сертификатах и тем более о гостовых SSL-сертификатах) у себя на сайте, то это полный пипец.

Вот так часто выглядят результаты сканирования сайтов российских разработчиков, которые «забыли» про защиту своих Интернет-представительств (а некоторые на таких сайтах даже личные кабинеты для клиентов устраивают, подвергая их логины и пароли риску утечки):

Какие заголовки HTTP используются на сайтах отечественных компаний по ИБ
Отсутствие HTTPS на сайте российского разработчика межсетевых экранов

Помимо наличия HTTPS сайт, как витрина компании по ИБ, показывает как она относится к пословице «сапожник без сапог». Если проанализировать с помощью сервиса SecurityHeaders сайт, то он покажет, какие из заголовков HTTP настроены и как это влияет на безопасность как самого сайта, так и его пользователей. Например, отказ от использования заголовка Content-Security-Policy может облегчить организацию XSS-атак. Поэтому стоит задуматься не только о наличии HTTPS, но и о правильных настройках HTTP. Например, сайт одного из лидеров российского рынка ИБ выглядит не очень — на нем настроен только HTTPS, но ни один из заголовков HTTP.

Какие заголовки HTTP используются на сайтах отечественных компаний по ИБ
Не очень хорошо настроенный HTTPS на сайте одного из лидеров российского рынка ИБ

Один российский лицензиат ФСБ и разработчик VPN-решений на своем сайте поднял уровень защите выше на один пункт:

Какие заголовки HTTP используются на сайтах отечественных компаний по ИБ
Настройки HTTPS на сайте отечественного разработчика VPN-решений

А вот другой лицензиат ФСБ и именитый разработчик СКЗИ, даже имея HTTPS на своем сайте, не настроил его должным образом и скатился на самую нижнюю позицию рейтинга согласно SecurityHeaders:

Какие заголовки HTTP используются на сайтах отечественных компаний по ИБ
Настройки HTTPS на сайте отечественного разработчика VPN-решений

Удостоверяющие центры, выдающие сертификаты своим клиентам сотнями тысяч, часто выглядят вот так:

Какие заголовки HTTP используются на сайтах отечественных компаний по ИБ
Настройки HTTPS на сайте отечественного удостоверяющего центра

Сайтов даже уровня B среди российских игроков рынка ИБ очень мало. Вот один из редких примеров:

Какие заголовки HTTP используются на сайтах отечественных компаний по ИБ
Настройки HTTPS на сайте отечественного разработчика средств ИБ

В идеале, путем нехитрых манипуляция с настройками сайта (даже на чужом хостинге) можно добиться вот таких настроек, которые, позволяют защититься от XSS-атак (заголовок Content-Security-Policy), от сниффинга со стороны браузера (заголовок X-Content-Type-Options), от сбора лишней информации браузером (заголовок Referrer-Policy) и от атак clickjacking (заголовок X-Frame-Options):

Какие заголовки HTTP используются на сайтах отечественных компаний по ИБ
Настройки HTTPS сайта lukatsky.ru

На самом деле, можно, добавив заголовок Permission-Policy (контроль использования различных функций и API в браузере), добиться уровня А+, но это уже избыточно на мой взгляд.

Сам себя не похвалишь, никто не похвалит

Нельзя сказать, что все эти настройки заголовков HTTP прям критичны и от них на 100% зависит безопасность сайта. Но для компании по ИБ, которая заявляет о своем лидерстве в области кибербезопасности (а об этом заявляют все), это должно, на мой взгляд, стать правилом хорошего тона. Тем более, что ничего сложного в этом нет (раз уж даже я, «бумажный безопасник», все это смог настроить).

По статистике SecurityHeaders, всего 1% сайтов в Интернет имеет рейтинг А+, 10% — рейтинг А. 50% сайтов имеют рейтинг F. Остальные сайты распределены между рейтингами B, C, D и E.

А вообще, все это не так уж и важно. Ведь существовали вы раньше с рейтингом D и ничего, никто вас не взламывал (наверное). Почему бы и дальше не существовать также?..

Заметка Какие заголовки HTTP используются на сайтах отечественных компаний по ИБ была впервые опубликована на Бизнес без опасности.

Об авторе Алексей Лукацкий

Алексей Викторович Лукацкий – бизнес-консультант по безопасности, Cisco Systems. Все, что написано в этом блоге, отражает только личную точку зрения автора и не имеет никакого отношения к точке зрения его работодателя или иной организации, с которой автора связывают официальные отношения (если это не выделено особо).
Читать все записи автора Алексей Лукацкий

Добавить комментарий

Ваш адрес email не будет опубликован.