Defaults.Exposed › Ispravci
Popravite sigurnost svoje domene — besplatni vodiči korak po korak
Vodiči jednostavnim jezikom za rješavanje svakog problema koji ocjenjujemo — SPF, DKIM, DMARC, DNSSEC, TLS, certifikati i HTTP sigurnosna zaglavlja. Svaki objašnjava što je to, koliko vaše poslovanje može stajati i točno kako ga postaviti kod vašeg pružatelja usluge.
- CAA zapisi
CAA zapis je kratka uputa u postavkama vaše domene koja imenuje koje tvrtke za certifikate smiju izdati 'lokot' sigurnosni certifikat za vašu web stranicu. S njim uključenim, nijedna druga tvrtka ne može tiho izraditi valjani certifikat na vaše ime. - CDN / WAF i hosting
Dva uvida u instalaciju iza vaše web stranice: sjedite li iza zaštitnog štita (CDN s Web Application Firewallom, poput Cloudflarea) koji filtrira napade i apsorbira prometne skokove, i karta tko zapravo vodi vaš DNS, web stranicu i e-poštu. Oboje je informativno u našem bodovanju — ne pomiču vašu ocjenu — ali opisuju koliko je vaš origin server izložen napadu i ispadu i koliko su vaši pružatelji isprepleteni. Štit ispred i razumno podijeljen skup pružatelja je kako izgledaju otporna poduzeća. - Content-Security-Policy (CSP)
Content Security Policy je sigurnosno pravilo koje vaša web stranica predaje pregleniku svakog posjetitelja, govoreći mu točno koji je kod dopušteno pokretati. Bez njega, ako ikad nešto zlonamjerno dospije na stranicu — putem polja za komentare, hakiranog dodatka ili skripte treće strane — preglednik će ga slobodno pokrenuti, uključujući kod koji tiho presreće brojeve kartica i lozinke vaših klijenata dok upisuju, a lokot ostaje prikazan. - DKIM
DKIM je nevidljivi zaštitni pečat na svakoj e-poruci koju vaše poduzeće šalje. Primajućem pružatelju pošte omogućuje potvrdu da je e-poruka zaista došla od vas i stigla nepromijenjenja. Bez njega, vaša pošta je lakše laživa, lakše se mijenja u prijenosu i mnogo je vjerojatnije da će završiti u spamu ili biti odbijena. - DMARC (Zaštita od lažiranja e-pošte)
DMARC je jedna postavka koja zapravo govori svjetskim pružateljima e-pošte da BLOKIRAJU e-poštu koja krivotvori naziv vašeg poduzeća. SPF i DKIM provjeravaju brave; DMARC odlučuje što se dogodi kad krivotvorina ne prođe provjeru — spremi je, označi ili propusti. Pogrešno postavljeno, vaša domena je potpuno lažljiva; ispravno postavljeno, lažno predstavljanje staje u sandučiću. - DNSSEC
DNSSEC je digitalni pečat na adresaru vaše domene. Internetski omogućuje dokazivanje da je odgovor na pitanje 'gdje ova domena živi?' zaista došao od vas i nije bio izmijenjen na putu. Bez njega, odgovor može biti krivotvoren — i vaši posjetitelja tiho poslani negdje drugdje. - HSTS (Strict-Transport-Security)
HSTS prisiljava preglednika da uvijek koristi šifriranu HTTPS vezu — nikad običan HTTP. Bez njega napadač na javnom Wi-Fi-ju može tiho ukloniti vaš SSL lokot i čitati podatke posjetitelja, čak i dok sve izgleda uredno. - HTTPS i prisilno sigurno preusmjeravanje
HTTPS je lokot u adresnoj traci preglednika — šifrira sve što putuje između vaše web stranice i vaših klijenata da se ne može čitati ni mijenjati u prijenosu. Prisilno sigurno preusmjeravanje osigurava da posjetitelji automatski stignu na tu šifriranu verziju, čak i kad upišu vašu adresu bez 'https://'. Zajedno su jedna jedina najosnovnija stvar koja web stranici treba da se uopće smatra sigurnom. - IPv6 podrška
IPv6 je novija, daleko veća verzija internetskog adresnog sustava, uvedena jer je starija (IPv4) ostala bez prostora. Dodavanje IPv6 podrške znači da vaša web stranica i e-pošta mogu biti dosegnuti i preko moderne mreže, i stare. U našem bodovanju ovo je informativno — nepostojanje ne snizuje vašu ocjenu — ali je pravi problem dosezanja u stvarnom životu: sve veći dio mobilnih i inozemnih klijenata spaja se samo IPv6 mrežama, i dostupni ste im nesmetano samo ako to podržavate. Popravak je besplatan i živi u postavkama DNS-a i hostinga. - Moderna enkripcija (TLS verzija i šifre)
TLS je brava koja zamiješava podatke koji teku između vaših posjetitelja i vaše web stranice. Dvije stvari čine tu bravu pouzdanom: korištenje moderne verzije TLS-a (ne stare, pokvarene), i korištenje jakih šifri (stvarni recept za zamiješavanje). Ova stranica pokriva oboje — plus nekoliko povezanih postavki koje ne utječu na vašu ocjenu, ali vrijedi znati o njima. - MX zapisi (postavljanje e-pošte)
MX zapis je putokaz koji ostatku svijeta govori gdje dostaviti e-poštu upućenu vašoj domeni. Ako nedostaje ili je neispravan, svaka poruka poslana vašem poduzeću — upiti klijenata, resetovi lozinki, fakture, ugovori — odmah se vraća pošiljatelju. Nema MX zapisa, nema sandučića. - Obrnuti DNS (PTR)
Obrnuti DNS je osobna iskaznica servera koji šalje vašu poslovnu e-poštu. Kad primajući pružatelj poput Gmaila ili Microsoft 365 pretraži tko stoji iza adrese pošiljatelja i dobije ime koje se potvrdi, vaša pošta izgleda legitimno. Kad nema iskaznice — ili se ime i broj ne slažu — vaše savršeno stvarne fakture i ponude tretiraju se sa sumnjom i tiho završe u smeću ili budu odbijene. - Postavke nameservera (raznolikost i SOA)
Vaši nameserveri su imenik koji govori cijelom internetu gdje pronaći vašu web stranicu i e-poštu. Ako svi sjede na jednoj mreži i ona padne, vaše poduzeće nestaje s interneta u istom trenutku — nema stranice, nema e-pošte, ništa — a nemarno postavljanje sata na tim serverima može ostaviti promjene koje napravite zaglavljene danima. - Referrer-Policy
Referrer-Policy je jednolinirajska uputa koju vaša web stranica predaje pregleniku svakog posjetitelja, kontrolirajući koliko vaše web adrese putuje s njima kad kliknu link na drugu stranicu. Bez nje, puna adresa stranice na kojoj su bili — pojmovi pretraživanja, brojevi računa, veze za resetiranje, interni putovi stranica i sve ostalo — tiho se predaje sljedećoj stranici na kojoj sletnu, uključujući oglasom, analitičkim tvrtkama i svugdje drugdje na što link upućuje. - SPF (Sender Policy Framework)
SPF je redak u postavkama vaše domene koji navodi kojim servisima je dopušteno slati e-poštu u ime vašeg poslovanja. Bez njega, bilo tko na svijetu može slati poruke koje izgledaju kao da dolaze od vas — a vaša stvarna e-pošta češće završava u spam mapama primatelja. - Zaglavlja za cross-origin izolaciju (COOP / CORP / COEP)
Tri neobavezne preglednikove upute koje kontroliraju kako drugim web stranicama smiju međusobno djelovati s vašom — otvarajući je u skočnim prozorima, ugrađujući njene slike i skripte ili povlačeći njene resurse na vlastite stranice. To je moderno ojačanje, a ne osnovna obaveza, i u našem bodovanju su informativne: njihov nedostatak ne snizuje vašu ocjenu. No dvije sigurne zatvaraju tihu phishing i krađu-propusnosti prazninu, i pažljiv sigurnosni tim kupca primijetit će kad su prisutne. - Zaštita od clickjackinga (X-Frame-Options)
Jednolinirajska uputa koja preglednicima govori da ne dopuštaju drugim web stranicama da tajno učitaju vašu stranicu unutar svojih. Bez njega, prevarant može sakriti vaše stvarne, prijavljene stranice iza lažne i prevariti vaše klijente da kliknu stvari koje nikad nisu namjeravali — odobriti plaćanje, promijeniti lozinku, dodijeliti pristup. - Zaštita od MIME-sniffinga (X-Content-Type-Options)
Jednolinirajsko zaglavlje koje sprječava preglednikeda nagađaju što je zapravo neka datoteka. Bez njega, datoteka koju netko prenese na vašu stranicu — ili datoteka na vašim vlastitim stranicama — može biti pogrešno pročitana od strane preglednika i pokrenuta kao kod, što je upravo kako neki napadi pretvaraju bezopasno-izgledajući upload u način krađe sesija vaših klijenata. - Zdravlje TLS certifikata
Vaš SSL/TLS certifikat je digitalna osobna iskaznica koja dokazuje posjetitelju da zaista razgovara s vašom web stranicom — a ne s imitatorom — i pokreće lokot u pregledniku. Ova provjera gleda je li taj certifikat valjan i pouzdan, nije li blizu isteka te je li izgrađen s jakom, modernom kriptografijom.