Defaults.Exposed › Rešenja
Ispravite bezbednost svog domena — besplatni vodiči korak po korak
Vodiči na jednostavnom jeziku za ispravljanje svakog problema koji ocenjujemo — SPF, DKIM, DMARC, DNSSEC, TLS, sertifikati i HTTP bezbednosna zaglavlja. Svaki objašnjava šta to jeste, koliko može da košta vaše poslovanje i tačno kako da ga podesite kod svog provajdera.
- CAA zapisi
CAA zapis je kratka instrukcija u vašim domenskim podešavanjima koja imenuje koje certificirane kompanije smiju izdavati 'katanac' bezbednosni sertifikat za vaš sajt. S njim uključenim, nijedna druga kompanija ne može tiho kreirati valjani sertifikat u vaše ime. - CDN / WAF i hosting
Dva čitanja infrastrukture iza vašeg sajta: da li sjedite iza zaštitnog štita (CDN s Web Application Firewallom, poput Cloudflare-a) koji filtrira napade i apsorbira saobraćajne špice, i mapa ko zapravo vodi vaš DNS, sajt i imejl. Oba su informativna u našem bodovanju — ne pomijeraju vašu ocjenu — ali opisuju koliko je vaš origin server izložen napadu i outage-u i koliko su vaši provajderi zapleteni. Štit ispred i razumno podijeljen skup provajdera je izgled otpornih preduzeća. - Content-Security-Policy (CSP)
Content Security Policy je bezbednosno pravilo koje vaš sajt predaje pretraživaču svakog posjetioca, govoreći mu tačno koji kod je dozvoljeno da se izvršava. Bez njega, ako ikad nešto zloćudno dospije na stranicu — putem komentarskog polja, hakovanog plugina ili skripte treće strane — pretraživač će ga slobodno izvršiti, uključujući kod koji tiho prikuplja kartične podatke i lozinke vaših kupaca dok ih upisuju, i pored toga što je katanac i dalje prikazan. - Cross-origin isolation headeri (COOP / CORP / COEP)
Tri opcione browser instrukcije koje kontrolišu kako je drugim sajtovima dozvoljeno da interaguju s vašim — otvarajući ga u popupima, ugrađujući njegove slike i skripte, ili povlačeći njegove resurse u vlastite stranice. To je moderno ojačavanje, ne osnovna obaveza, i u našem bodovanju su informativni: njihovo odsustvo ne snižava vašu ocjenu. Ali ona dva bezbedna zatvaraju tihu phishing i bandwidth-krađe prazninu, a pažljiv IT tim kupca će primijetiti kad su prisutni. - DKIM
DKIM je nevidljivi, zaštitni pečat na svakom imejlu koji vaše preduzeće šalje. On prijemnom provajderu omogućava da potvrdi da imejl zaista dolazi od vas i da je stigao nepromenjen. Bez njega, vaša pošta je lakša za falsifikovanje, lakša za izmenu i mnogo više šansi ima da završi u spamu. - DMARC (Zaštita od email spoofinga)
DMARC je jedno podešavanje koje zapravo govori svjetskim mail provajderima da BLOKIRAJU emailove koji falsificiraju naziv vašeg preduzeća. SPF i DKIM provjeravaju brave; DMARC odlučuje šta se dešava kad falsifikat ne prođe provjeru — odbaciće ga u smeće, flagovati ili propustiti. Postavljeno pogrešno, vaš domen je u potpunosti falsifikabilit; postavljeno ispravno, imitiranje staje na inboxu. - DNSSEC
DNSSEC je digitalni pečat na adresaru vašeg domena. Dozvoljava internetu da dokaže da je odgovor na 'gdje ovaj domen živi?' zaista došao od vas i nije bio dirnut putem. Bez njega, odgovor može biti falsificiran — i vaši posjetioci tiho poslati negdje drugamo. - HSTS (Strict-Transport-Security)
HSTS je jednolinijska instrukcija koju vaš sajt daje svakom pretraživaču: 'uvek se vrati kod mene putem sigurne, šifrovane veze — nikad nesigurne.' Bez njega, vaš katanac može biti tiho uklonjen na zajedničkom WiFi-ju, a i sama prva posjeta vašem sajtu je izložena. - HTTPS i preusmjeravanje na sigurnu vezu
HTTPS je katanac u traci pretraživača — šifrira sve što putuje između vašeg sajta i vaših kupaca da ne može biti pročitano ili izmijenjeno u tranzitu. Prisilno preusmjeravanje na sigurnu vezu osigurava da posjetioci automatski budu preusmjereni na tu šifrovanu verziju, čak i kad unesu adresu bez 'https://'. Zajedno su najosnovnija stvar koju sajt mora imati da se smatra bezbednim uopšte. - IPv6 podrška
IPv6 je novija, mnogo veća verzija sistema adresiranja interneta, uvedena jer je stara (IPv4) ponestalo mjesta. Dodavanje IPv6 podrške znači da vaš sajt i imejl mogu biti dostignuti i putem moderne mreže i putem stare. U našem bodovanju ovo je informativno — nemanje ga ne snižava vašu ocjenu — ali je pravi-svet problem dosezanja: rastuća frakcija mobilnih i inostranih kupaca se konektuje putem IPv6-only mreža, i dosižu vas glatko samo ako ga podržavate. Popravka je besplatna i živi u vašem DNS-u i hosting postu. - MIME-sniffing zaštita (X-Content-Type-Options)
Jednolinijski header koji sprečava pretraživače da pogađaju šta je fajl zapravo. Bez njega, fajl koji neko okači na vaš sajt — ili fajl na vašim stranicama — pretraživač može pogrešno pročitati i pokrenuti ga kao kod, što je tačno način na koji neki napadi pretvaraju naizgled bezazleni upload u alat za krađu sesija vaših kupaca. - Moderna enkripcija (TLS verzija i šifre)
TLS je brava koja šifrira podatke koji teku između vaših posjetioca i sajta. Dvije stvari čine tu bravu pouzdanom: korišćenje moderne verzije TLS-a (a ne starih, pokvarenih) i korišćenje jakih šifri (stvarnog recepta za šifriranje). Ova stranica pokriva oboje — plus nekoliko srodnih podešavanja koja ne utiču na vašu ocenu, ali ih vrijedi znati. - MX zapisi (podešavanje pošte)
MX zapis je tabla s oznakom koja govori ostatku sveta gde da dostavlja imejl upućen vašem domenu. Ako nedostaje ili je neispravan, svaka poruka koja bude poslata vašem preduzeću — upiti kupaca, resetovanja lozinke, fakture, ugovori — odmah se vraća pošiljaocu. Nema MX-a, nema sanduča. - Postav nameservera (raznolikost i SOA)
Vaši nameserveri su imenik koji govori cijelom internetu gdje pronaći vaš sajt i imejl. Ako svi sjede na jednoj mreži i ta mreža padne, vaše preduzeće nestaje s interneta u istom trenutku — nema sajta, nema imejla, ničeg — i nepažljivo sat-podešavanje na tim serverima može ostaviti promjene koje napravite da čekaju danima. - Referrer-Policy
Referrer-Policy je jednolinijska instrukcija koju vaš sajt predaje pretraživaču svakog posjetioca, kontrolišući koliko vaše web adrese putuje s njima kad kliknu link ka drugom sajtu. Bez nje, puna adresa stranice na kojoj su bili — pojmovi pretrage, brojevi naloga, linkovi za resetovanje, putanje internih stranica i sve — tiho se predaje sledećem sajtu na koji pristanu, uključujući oglašivače, analitičke firme i svugdje drugde gdje link pokazuje. - Reverzni DNS (PTR)
Reverzni DNS je lična karta servera koji šalje poštu vašeg preduzeća. Kada prijemni provajder poput Gmaila ili Microsoft 365 provjeri ko stoji iza adrese pošiljaoca i dobije ime koje se može verifikovati, vaša pošta izgleda legitimno. Kada nema lične karte — ili se ime i broj ne slažu — vaše potpuno prave fakture i ponude bivaju tretirane kao sumnjive i tiho odbačene. - SPF (Sender Policy Framework)
SPF je linija u podešavanjima vašeg domena koja navodi koje imejl servise je dopušteno da šalju poštu u ime vašeg preduzeća. Bez njega, bilo ko na svetu može slati poruke koje izgledaju kao da dolaze od vas — a vaši pravi imejlovi češće završavaju u spamu kod kupaca. - Zaštita od clickjackinga (X-Frame-Options)
Jednolinijska instrukcija koja govori pretraživačima da ne dozvole drugim sajtovima da tajno učitavaju vaš sajt unutar svog. Bez nje, prevarant može sakriti vaše prave, ulogovane stranice iza lažne stranice i prevariti vaše kupce da kliknu stvari koje nisu namjeravali — odobravajući plaćanje, mjenjajući lozinku, dajući pristup. - Zdravlje TLS sertifikata
Vaš SSL/TLS sertifikat je digitalna lična karta koja dokazuje posetiocu da zaista razgovara s vašim sajtom — a ne s lažnom kopijom — i pokreće katanac u pretraživaču. Ova provjera razmatra da li je taj sertifikat validan i poverljiv, da li uskoro ističe i da li je izgrađen s jakom, modernom kriptografijom.