Testes de segurança em websites

Smeek

Smeek

Super-membro

Mensagens : 592
Reputação : 37

Bom dia pessoal Smile

Estava realizando uns testes de segurança a um site, e encontrei algumas falhas que se possível gostaria tentar resolver. Esse teste foi realizado através do Webcheck.pt, obtive os seguintes pontos a corrigir:

PÁGINA DE INTERNET (WEBSITE) - CONFIGURAÇÃO E SEGURANÇA DO DOMÍNIO (Assinatura DNSSEC do domínio; Validade da assinatura DNSSEC do domínio).
SEGURANÇA DA LIGAÇÃO - HSTS (Suporte HSTS).
SEGURANÇA DA LIGAÇÃO - TLS (Versões de SSL/TLS suportadas).
CABEÇALHOS DE SEGURANÇA (X-Content-Type-Options; X-Frame-Options; X-XSS-Protection; Referrer-Policy; Content-Security-Policy).
CORREIO ELETRÓNICO - CONFIGURAÇÃO E SEGURANÇA DO DOMÍNIO DE CORREIO ELETRÓNICO (Assinatura DNSSEC do domínio do(s) servidor(es) de correio eletrónico; Validade da assinatura DNSSEC do(s) domínio(s) do(s) servidor(es) de correio eletrónico).
DMARC (Registo DMARC; Política de DMARC).
STARTTLS (Versões de SSL/TLS).

Link: https://webcheck.pt/pt/dns/loading.php?domain=insulac.pt

Sei que poderá ser bastanta extenso mas se conseguirem dar só uma luz para eu entender melhor sobre o DNSSEC (se posso corrigir) e sobre HSTS :\

Obrigado Very Happy

DJPRMF

DJPRMF

Administrador

¯\_(ツ)_/¯
Mensagens : 77153
Reputação : 3275
Localização : Coimbra

Boas,

Antes de mais, é importante ter em conta que esse género de sistemas de "verificação" apresentam um conjunto de regras base que os mesmos consideram ser o necessário para segurança, mas isso não quer dizer que tenha de aplicar todas para garantir tal coisa.

Obviamente, num mundo perfeito, isso seria tudo ativado e usado, mas existem situações onde tal não é possível, e isso não quer dizer que o site esteja menos seguro por causa disso.

Além disso, esses pontos são apenas alguns dos vários que devem ser tidos em conta para a segurança do website - e sem dúvida que existem muitos mais importantes.

Basicamente, os testes da Webcheck são mais voltados para a parte de encriptação e segurança na transmissão dos dados - não verificam "falhas" nos servidores onde esses sites se encontrem, por exemplo.

Dito isto, deve ter atenção ao que se encontra a ativar sempre que o for realizar.

Recomendo que para todos os pontos, tente pesquisar primeiro um pouco melhor o que cada um faz e se deve ou não ativar - como visto anteriormente, por estarem em "falta", não quer dizer que o site esteja "inseguro".

O DNSSEC é uma pequena funcionalidade que permite proteger de alguns ataques de "cache poisoning" - não é diretamente para o site, mas mais para as visitas do mesmo.

Para o ativar tem de verificar com a entidade onde o domínio se encontra registado ou sobre o servidor onde os nameservers estão configurados. É uma alteração que deve ser feita a nível do DNS, portanto será a nível do servidor onde esses se encontrem - a forma de ativar varia conforme tal.

Já o HSTS é basicamente a "forçar" a ligação segura via HTTPS. Ou seja, com este ativo, todas as ligações HTTP regulares serão rejeitadas no domínio e subdominios (ou reencaminhadas para HTTPS, depende do navegador). Veja com atenção se isto é algo que realmente necessita de ativar, porque vai afetar todo o domínio e subdominios, e caso exista algum ponto onde acesso HTTP seja necessário, pode causar a inacessibilidade do site.

Já agora, se utilizar o cloudflare no domínio, ambas as configurações podem ser facilmente ativadas no painel de controlo do mesmo.