Defaults.Exposed › Popravki
Popravite varnost svoje domene — brezplačni vodniki korak za korakom
Razumljivi vodniki za odpravljanje vsake težave, ki jo ocenjujemo — SPF, DKIM, DMARC, DNSSEC, TLS, potrdila in varnostne glave HTTP. Vsak razloži, kaj je, koliko lahko stane vaše podjetje in kako natančno ga nastaviti pri svojem ponudniku.
- CDN / WAF in gostovanje
Dva branja inštalacij za vašo spletno stran: ali sedite za zaščitnim ščitom (CDN z Web Application Firewall-om, kot je Cloudflare), ki filtrira napade in absorbira skoke prometa, ter zemljevid tega, kdo dejansko izvaja vaš DNS, spletno mesto in e-pošto. Oba sta informativna pri našem točkovanju — ne menjata vaše ocene — a opisujeta, kako izpostavljen je vaš izvorni strežnik napadom in motnjam, in kako zapleteni so vaši ponudniki. Ščit pred vami in razumno razporejeni ponudniki je videz odpornih podjetij. - Content-Security-Policy (CSP)
Politika varnosti vsebine je varnostno pravilo, ki ga vaša spletna stran preda brskalniku vsakega obiskovalca in mu pove, katera koda sme teči. Brez nje, če na stran kdaj pristane karkoli zlonamernega — prek polja za komentarje, vdrtega vtičnika ali skripte tretje osebe — bo brskalnik to svobodno zagnal, vključno s kodo, ki tiho skimira številke kartic in gesla vaših strank, medtem ko se ključavnica še vedno prikazuje. - DKIM
DKIM je nevidni zaščitni pečat na vsaki e-poštni sporočilu, ki ga vaše podjetje pošlje. Ponudniku poštnega predala prejemnika omogoča potrditi, da je e-pošta res prišla od vas in prispela nespremenjena. Brez njega je vašo pošto lažje ponarediti, lažje spremeniti in pogosteje konča v mapi za neželeno pošto ali je sploh zavrnjena. - DMARC (Zaščita pred ponarejanjem e-pošte)
DMARC je tista ena nastavitev, ki dejansko pove poštnim ponudnikom po vsem svetu, da BLOKIRAJO e-pošte, ki ponaredijo ime vašega podjetja. SPF in DKIM preverita ključavnice; DMARC odloči, kaj se zgodi, ko ponaredba ne prestane preverjanja — ga zavrže, označi ali pošlje naprej. Napačno nastavljen, je vaša domena v celoti ponaredljiva; pravilno nastavljen, se ponarejanje ustavi pri mapi prihoda. - DNSSEC
DNSSEC je digitalni pečat na imeniku naslovov vaše domene. Internetu omogoča dokazati, da je odgovor na 'kje ta domena živi?' dejansko prišel od vas in ni bil spremenjen na poti. Brez njega je mogoče odgovor ponarediti — in vaši obiskovalci tiho poslani drugam. - Glave za izolacijo med izvori (COOP / CORP / COEP)
Tri neobvezna navodila brskalnika, ki nadzorujejo, kako so druga spletna mesta dovoljena pri interakciji z vašim — odpiranje v pojavnih oknih, vdelava vaših slik in skript ali vlečenje vaših virov na njihove strani. So moderna utrditev, ne osnovna nujnost, in pri našem točkovanju so informativne: njihova odsotnost ne zniža vaše ocene. A dve varni zapreta tiho phishing v pojavnih oknih in vrzel kraje pasovne širine, in skrbna IT ekipa kupca bo opazila, ko sta prisotni. - HSTS (Strict-Transport-Security)
HSTS je navodilo ene vrstice, ki ga vaša spletna stran da vsakemu brskalniku: 'Vedno se vrni k meni prek varne, šifrirane povezave — nikoli prek nevarne.' Brez njega se vaša ključavnica na skupnem omrežju WiFi tiho odstranj in prav prva stran vašega mesta je izpostavljena. - HTTPS in prisilna varna preusmeritev
HTTPS je ključavnica v naslovni vrstici brskalnika — šifrira vse, kar potuje med vašo spletno stranjo in vašimi strankami, da tega ni mogoče prebrati ali spremeniti med prenosom. Prisilna varna preusmeritev zagotavlja, da obiskovalci samodejno pristanejo na šifrirani različici, tudi ko vtipkajo vaš naslov brez 'https://'. Skupaj sta najpomembnejša osnova, ki jo spletna stran potrebuje, da se sploh šteje za varno. - MX zapisi (nastavitev e-pošte)
MX zapis je kažipot, ki pove preostalemu svetu, kam dostaviti e-pošto, naslovljeno na vašo domeno. Če manjka ali je pokvarjen, se vsako sporočilo, poslano vašemu podjetju — poizvedbe strank, ponastavitve gesel, računi, pogodbe — takoj vrne pošiljatelju. Brez MX, brez nabiralnika. - Nastavitev imenskih strežnikov (raznolikost in SOA)
Vaši imenski strežniki so imenik, ki vsemu internetu pove, kje najti vaše spletno mesto in e-pošto. Če vsi sedijo na enem omrežju in to pade, vaše podjetje hkrati izgine z interneta — nobena stran, nobena e-pošta, nič — in neurejena nastavitev ure na teh strežnikih lahko pusti spremembe, ki jih naredite, obtičali za dni. - Obratni DNS (PTR)
Obratni DNS je osebna izkaznica za strežnik, ki pošilja e-pošto vašega podjetja. Ko ponudnik, kot je Gmail ali Microsoft 365, preveri, kdo stoji za pošiljateljevim naslovom in dobi ime, ki se izkaže, vaša pošta izgleda legitimno. Brez izkaznice — ali kadar se ime in številka ne ujemata — vaši povsem pravi računi in ponudbe dobijo obravnavo sumljive pošte in so tiho zavrženi ali zavrnjeni. - Podpora IPv6
IPv6 je novejša, bistveno večja različica naslovnega sistema interneta, ki je bila uvedena, ker je stari (IPv4) zmanjkal prostora. Dodajanje podpore IPv6 pomeni, da je vaše spletno mesto in e-pošto mogoče doseči prek sodobnega omrežja kot tudi starega. Pri našem točkovanju je to informativno — brez tega ocena ni znižana — a je resna stvar dosegljivosti v realnem svetu: rastoč del mobilnih in čezmorskih strank se povezuje prek omrežij, ki podpirajo le IPv6, in dosežejo vas brez težav le, če ga podpirate. Popravek je brezplačen in živi v vašem DNS in nastavitvi gostovanja. - Referrer-Policy
Referrer-Policy je navodilo ene vrstice, ki ga vaša spletna stran preda brskalniku vsakega obiskovalca in nadzoruje, koliko vašega spletnega naslova potuje z njimi, ko kliknejo na povezavo do druge strani. Brez tega se brskalnik tiho preda celoten naslov strani, na kateri so bili — iskalni izraz, številke računov, ponastavitvene povezave, poti do notranjih strani in vse ostalo — naslednji strani, na kateri pristanejo, vključno z oglaševalci, analitičnimi podjetji in kjerkoli koli kaže na nekam. - Sodobno šifriranje (različica TLS in šifre)
TLS je ključavnica, ki šifrira podatke, ki tečejo med vašimi obiskovalci in vašo spletno stranjo. Dve stvari naredita to ključavnico zaupanja vredno: uporaba sodobne različice TLS (ne stare, zlomljene) in uporaba močnih šifer (dejanski recept za šifriranje). Ta stran zajema oboje — plus nekatere sorodne nastavitve, ki ne vplivajo na vašo oceno, a jih je vredno poznati. - SPF (Sender Policy Framework)
SPF je vrstica v nastavitvah vaše domene, ki določa, katere poštne storitve smejo pošiljati e-pošto v imenu vašega podjetja. Brez nje lahko kdorkoli na svetu pošilja e-pošto, ki izgleda, kot da prihaja od vas — vaša prava e-pošta pa se znajde v mapi z neželeno pošto. - Zapisi CAA
Zapis CAA je kratko navodilo v nastavitvah vaše domene, ki imenuje, katera certifikatna podjetja smejo izdati certifikat varnosti 'ključavnica' za vaše spletno mesto. Ko je vklopljeno, nobeno drugo podjetje ne more tiho ustvariti veljavnega certifikata v vašem imenu. - Zaščita pred clickjackingom (X-Frame-Options)
Navodilo ene vrstice, ki brskalniku pove, da ne dovoli drugim spletnim stranem, da skrivoma naložijo vašo stran znotraj svojih. Brez tega lahko prevarant skrije vaše pravo, prijavlje stran za lažno stranjo in stranke zavede v klikanje stvari, ki jih niso nameravale — odobritev plačila, sprememba gesla, podelitev dostopa. - Zaščita pred MIME-sniffingom (X-Content-Type-Options)
Glava ene vrstice, ki prepreči brskalnikom ugibanje, kaj datoteka dejansko je. Brez nje je datoteko, ki jo nekdo naloži na vašo stran — ali datoteko na vaših lastnih straneh — brskalnik napačno prebere in zažene kot kodo, kar je natanko to, kako nekateri napadi spremenijo navidezmno nenevno nalaganje v način za krajo sej vaših strank. - Zdravje TLS certifikata
Vaš SSL/TLS certifikat je digitalna osebna izkaznica, ki dokazuje, da obiskovalec dejansko komunicira z vašo spletno stranjo — ne z lažno kopijo — in poganja ključavnico v brskalniku. To preverjanje preverja, ali je certifikat veljaven in zaupanja vreden, ali mu kmalu ne bo potekel in ali je zgrajen z močno, sodobno kriptografijo.