Какие заголовки HTTP используются на сайтах отечественных компаний по ИБ

Настройки HTTPS сайта lukatsky.ru Разное

В прошлом году я затеял проект, который хочу в ближайшее время завершить и о котором, я не хотел особо писать до момента его завершения. Но раз уж я на протяжении двух дней писал о HTTPS, то я подумал, что стоит превратить диптих в триптих и немного коснуться вопроса применения HTTPS на сайтах российских компаний, занимающихся информационной безопасностью. Таких компаний на текущий момент времени в мою базу попало уже 242 (и это число постоянно растет), так что можно говорить о достаточно большой выборке.

Список российских компаний по информационной безопасности
Фрагмент списка российских компаний по информационной безопасности

 

Так вот у некоторых компаний, которые занимаются как разработкой средств защиты, так и оказанием различных услуг по информационной безопасности, включая проектирование систем в защищенном исполнении, сайты не поддерживают HTTPS в принципе или он не настроен должным образом. И фиг с ним, что такие компании нормально не будут ранжироваться в поисковой системе (если у сайта отсутствует HTTPS, то и Google и Яндекс понижают их в поисковой выдаче) — это их бизнес и если они не понимают важности правильного позиционирования себя в Интернет, то и ладно. Но когда компания, занимающаяся ИБ, даже не подумала о том, чтобы поднять хотя бы бесплатный сертификат (я не говорю о платных SSL-сертификатах и тем более о гостовых SSL-сертификатах) у себя на сайте, то это полный пипец.

Вот так часто выглядят результаты сканирования сайтов российских разработчиков, которые «забыли» про защиту своих Интернет-представительств (а некоторые на таких сайтах даже личные кабинеты для клиентов устраивают, подвергая их логины и пароли риску утечки):

Отсутствие HTTPS на сайте российского разработчика межсетевых экранов
Отсутствие HTTPS на сайте российского разработчика межсетевых экранов

Помимо наличия HTTPS сайт, как витрина компании по ИБ, показывает как она относится к пословице «сапожник без сапог». Если проанализировать с помощью сервиса SecurityHeaders сайт, то он покажет, какие из заголовков HTTP настроены и как это влияет на безопасность как самого сайта, так и его пользователей. Например, отказ от использования заголовка Content-Security-Policy может облегчить организацию XSS-атак. Поэтому стоит задуматься не только о наличии HTTPS, но и о правильных настройках HTTP. Например, сайт одного из лидеров российского рынка ИБ выглядит не очень — на нем настроен только HTTPS, но ни один из заголовков HTTP.

Не очень хорошо настроенный HTTPS на сайте одного из лидеров российского рынка ИБ
Не очень хорошо настроенный HTTPS на сайте одного из лидеров российского рынка ИБ

Один российский лицензиат ФСБ и разработчик VPN-решений на своем сайте поднял уровень защите выше на один пункт:

Настройки HTTPS на сайте отечественного разработчика VPN-решений
Настройки HTTPS на сайте отечественного разработчика VPN-решений

А вот другой лицензиат ФСБ и именитый разработчик СКЗИ, даже имея HTTPS на своем сайте, не настроил его должным образом и скатился на самую нижнюю позицию рейтинга согласно SecurityHeaders:

Настройки HTTPS на сайте отечественного разработчика VPN-решений
Настройки HTTPS на сайте отечественного разработчика VPN-решений

Удостоверяющие центры, выдающие сертификаты своим клиентам сотнями тысяч, часто выглядят вот так:

Настройки HTTPS на сайте отечественного удостоверяющего центра
Настройки HTTPS на сайте отечественного удостоверяющего центра

Сайтов даже уровня B среди российских игроков рынка ИБ очень мало. Вот один из редких примеров:

Настройки HTTPS на сайте отечественного разработчика средств ИБ
Настройки HTTPS на сайте отечественного разработчика средств ИБ

В идеале, путем нехитрых манипуляция с настройками сайта (даже на чужом хостинге) можно добиться вот таких настроек, которые, позволяют защититься от XSS-атак (заголовок Content-Security-Policy), от сниффинга со стороны браузера (заголовок X-Content-Type-Options), от сбора лишней информации браузером (заголовок Referrer-Policy) и от атак clickjacking (заголовок X-Frame-Options):

Настройки HTTPS сайта lukatsky.ru
Настройки HTTPS сайта lukatsky.ru

На самом деле, можно, добавив заголовок Permission-Policy (контроль использования различных функций и API в браузере), добиться уровня А+, но это уже избыточно на мой взгляд.

Сам себя не похвалишь, никто не похвалит 🙂

Нельзя сказать, что все эти настройки заголовков HTTP прям критичны и от них на 100% зависит безопасность сайта. Но для компании по ИБ, которая заявляет о своем лидерстве в области кибербезопасности (а об этом заявляют все), это должно, на мой взгляд, стать правилом хорошего тона. Тем более, что ничего сложного в этом нет (раз уж даже я, «бумажный безопасник», все это смог настроить).

По статистике SecurityHeaders, всего 1% сайтов в Интернет имеет рейтинг А+, 10% — рейтинг А. 50% сайтов имеют рейтинг F. Остальные сайты распределены между рейтингами B, C, D и E.

А вообще, все это не так уж и важно. Ведь существовали вы раньше с рейтингом D и ничего, никто вас не взламывал (наверное). Почему бы и дальше не существовать также?..

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Роман

    Куда более интересный вопрос — как это влияет на индексацию сайта?

    Ответить
    1. Алексей Лукацкий автор

      Ну алгоритмы индексации обычно не раскрываются, но по публичной информации я видел только, что отсутствие HTTPS влияет на поисковую выдачу. Про остальные заголовки HTTP не видел ничего

      Ответить
  2. zlonov

    Для некоторых компаний можно сравнить динамику с февраля 2020: https://zlonov.com/security-leaders-and-their-ssl-web-servers

    Ответить
    1. Алексей Лукацкий автор

      В твоем варианте тест оценивал только наличие и настройки SSL, а в «моем» как раз HTTPS и не оценивался и фокус был на заголовок HTTP. Если компания настроила SSL, то она редко настраивает HTTP. Но компании, которые до сих не используют SSL, — это странно

      Ответить