1. TugaTech » Internet e Redes » Duvidas e Ajuda de Redes e Internet

Siga-nos

Realize o Login na sua conta ou Registe-se para participar.

Ver o tópico anterior Ver o tópico seguinte Ir para baixo  Mensagem [Página 1 de 1]

#1Testes de segurança em websites Empty Testes de segurança em websites - Qui 24 Fev 2022 - 10:17

Smeek

Super-membro
Smeek

Bom dia pessoal Smile

 

Estava realizando uns testes de segurança a um site, e encontrei algumas falhas que se possível gostaria tentar resolver. Esse teste foi realizado através do Webcheck.pt, obtive os seguintes pontos a corrigir:

 

  • PÁGINA DE INTERNET (WEBSITE) - CONFIGURAÇÃO E SEGURANÇA DO DOMÍNIO (Assinatura DNSSEC do domínio; Validade da assinatura DNSSEC do domínio).
  • SEGURANÇA DA LIGAÇÃO - HSTS (Suporte HSTS).
  • SEGURANÇA DA LIGAÇÃO - TLS (Versões de SSL/TLS suportadas).
  • CABEÇALHOS DE SEGURANÇA (X-Content-Type-Options; X-Frame-Options; X-XSS-Protection; Referrer-Policy; Content-Security-Policy).
  • CORREIO ELETRÓNICO - CONFIGURAÇÃO E SEGURANÇA DO DOMÍNIO DE CORREIO ELETRÓNICO (Assinatura DNSSEC do domínio do(s) servidor(es) de correio eletrónico; Validade da assinatura DNSSEC do(s) domínio(s) do(s) servidor(es) de correio eletrónico).
  • DMARC (Registo DMARC; Política de DMARC).
  • STARTTLS (Versões de SSL/TLS).

Link: https://webcheck.pt/pt/dns/loading.php?domain=insulac.pt

 

Sei que poderá ser bastanta extenso mas se conseguirem dar só uma luz para eu entender melhor sobre o DNSSEC (se posso corrigir) e sobre HSTS :\

 

Obrigado Very Happy

Conectado

#2Testes de segurança em websites Empty Re: Testes de segurança em websites - Qui 24 Fev 2022 - 11:04

DJPRMF

Administrador
DJPRMF

Boas,

 

Antes de mais, é importante ter em conta que esse género de sistemas de "verificação" apresentam um conjunto de regras base que os mesmos consideram ser o necessário para segurança, mas isso não quer dizer que tenha de aplicar todas para garantir tal coisa.

 

Obviamente, num mundo perfeito, isso seria tudo ativado e usado, mas existem situações onde tal não é possível, e isso não quer dizer que o site esteja menos seguro por causa disso.

 

Além disso, esses pontos são apenas alguns dos vários que devem ser tidos em conta para a segurança do website - e sem dúvida que existem muitos mais importantes.

Basicamente, os testes da Webcheck são mais voltados para a parte de encriptação e segurança na transmissão dos dados - não verificam "falhas" nos servidores onde esses sites se encontrem, por exemplo.

 

Dito isto, deve ter atenção ao que se encontra a ativar sempre que o for realizar.

Recomendo que para todos os pontos, tente pesquisar primeiro um pouco melhor o que cada um faz e se deve ou não ativar - como visto anteriormente, por estarem em "falta", não quer dizer que o site esteja "inseguro".

 

O DNSSEC é uma pequena funcionalidade que permite proteger de alguns ataques de "cache poisoning" - não é diretamente para o site, mas mais para as visitas do mesmo.

Para o ativar tem de verificar com a entidade onde o domínio se encontra registado ou sobre o servidor onde os nameservers estão configurados. É uma alteração que deve ser feita a nível do DNS, portanto será a nível do servidor onde esses se encontrem - a forma de ativar varia conforme tal.

 

Já o HSTS é basicamente a "forçar" a ligação segura via HTTPS. Ou seja, com este ativo, todas as ligações HTTP regulares serão rejeitadas no domínio e subdominios (ou reencaminhadas para HTTPS, depende do navegador). Veja com atenção se isto é algo que realmente necessita de ativar, porque vai afetar todo o domínio e subdominios, e caso exista algum ponto onde acesso HTTP seja necessário, pode causar a inacessibilidade do site.

 

Já agora, se utilizar o cloudflare no domínio, ambas as configurações podem ser facilmente ativadas no painel de controlo do mesmo.


____________________________________________

Testes de segurança em websites Tugatechuserbar
Testes de segurança em websites 3
Testes de segurança em websites 2
Não respondo a MP's de tópicos que podem ser colocados no forum. Ajude e seja ajudado por todos.
TugaTech | Host TugaTech
https://tugatech.com.pt https://www.facebook.com/DJPRMF https://twitter.com/dj_prmf DJPRMF

#3Testes de segurança em websites Empty Re: Testes de segurança em websites - Qui 24 Fev 2022 - 11:39

Smeek

Super-membro
Smeek

Olá,

 

Então irei analisar cada ponto da análise, e tentar corrigir...

Depois se precisar mais alguma ajuda avisarei aqui, obrigado

Ver o tópico anterior Ver o tópico seguinte Ir para o topo  Mensagem [Página 1 de 1]

Permissões neste sub-fórum
Não podes responder a tópicos




Aplicações do TugaTechAplicações TugaTechDiscord do TugaTechDiscord do TugaTechRSS TugaTechRSS do TugaTechSpeedtest TugaTechSpeedtest TugatechHost TugaTechHost TugaTech