Segurança Web

Atualmente é essencial que você tome cuidado com a segurança do seu web site ou do seu aplicativo para que eles estejam protegidos contras os últimos tipos de ataques e vulnerabilidades, estas, estão cada vez mais difundidas pelos blackhat hacker e podem gerar grandes problemas para seu negócio e seus usuários. Não existe uma fórmula mágica e a configuração de segurança do seu web site envolve estudo para a correta implementação de várias configurações de segurança, que de acordo com cada caso possam colocar a segurança web no máximo. Abaixo descrevo algumas das configurações mais utilizadas e recomendadas por padrões internacionais para todos os sites. Qualquer dúvida, entre em contato e ajudaremos a encontrar a solução aquedada para seu caso.
https

HTTPS/TLS

Todos os sites e aplicativos hoje devem utilizar o protocolo HTTPS para garantir maior segurança e privacidade dos dados que trafegam entre o servidor e o cliente. Garantindo que seu site ou aplicativo esteja de acordo com as recomendações de segurança atuais, garantindo a integridade dos dados, protegendo como ataques (como o man-in-the-middle) e também trazendo benefícios de velocidade, gerando maior confiança para seus usuários.

input

Strict Transport Security

Configuramos seu web site ou aplicativo para garantir que ele esteja de acordo com as últimas recomendações de HSTS. O HSTS garante que os usurários se conectem apenas por conexões seguras HTTPS, mesmo que ele tenha escolhido o protocolo não seguro HTTP. Recomendado para todos os sites que utilizam o protocolo HTTPS.

list

Content Security Policy

Configuramos policitas customizadas de Content Security Policy de acordo com as necessidades do seu web site ou aplicativo, garantindo grandes benefícios de controle sobre o que pode ou não ser executado. Este é o método recomendado para prevenção de ataques cross-site-scripting (XSS). Entre outras defesas o CSP garante que apenas os javascripts permitidos previamente sejam executados.

outlined_flag

Cookies

Todos os cookies devem ser definidos com o “sinalizador seguro” e definidos da forma mais restritiva possível. Isso pode ajudar a minimizar os danos de vulnerabilidades de cross-site scripting (XSS), pois esses cookies geralmente contêm identificadores de sessão ou outras informações confidenciais.

transfer_within_a_station

Referrer Policy

Quando um usuário navega para um site por meio de um hiperlink ou um site carrega um recurso externo, os navegadores informam ao site de destino a origem das solicitações por meio do uso do cabeçalho HTTP Referer. Embora isso possa ser útil para diversas finalidades, também pode colocar em risco a privacidade dos usuários. Definir uma politica de Referrer permite que os sites tenham um controle refinado sobre como e quando os navegadores transmitem o cabeçalho HTTP Referer.

link

Subresource Integrity

A integridade de sub-recursos é um padrão recente do W3C que protege contra invasores que modificam o conteúdo de bibliotecas JavaScript hospedadas em redes de entrega de conteúdo (CDNs) para criar vulnerabilidades em todos os sites que fazem uso dessa biblioteca hospedada. A integridade de sub-recursos bloqueia um recurso JavaScript externo para seu conteúdo conhecido em um momento específico. Se o arquivo for modificado a qualquer momento, os navegadores atuais se recusarão a carregá-lo.

report

X-Content-Type-Options

O X-Content-Type-Options é um cabeçalho suportado pelo Internet Explorer, Chrome e Firefox 50+ que diz para não carregar scripts e folhas de estilo (stylesheets), a menos que o servidor indique o tipo MIME correto. Sem esse cabeçalho, esses navegadores podem detectar arquivos incorretamente como scripts e folhas de estilo, levando a ataques XSS. Assim, todos os sites devem definir o cabeçalho X-Content-Type-Options e os tipos MIME apropriados para os arquivos que eles anunciam.

select_all

X-Frame-Options

O X-Frame-Options é um cabeçalho HTTP que permite que os sites controlem como seu site pode ser enquadrado (framed) em um iframe. O clickjacking é um ataque prático que permite que sites mal-intencionados induzam os usuários a clicar em links em seu site, mesmo que eles pareçam não estar em seu site. Como tal, o uso do cabeçalho X-Frame-Options é obrigatório para todos os novos sites, e todos os sites existentes deverão adicionar suporte para o X-Frame-Options o mais rápido possível.

cancel

X-XXS-Protection

O X-XSS-Protection é um recurso do Internet Explorer e do Chrome que impede o carregamento de páginas quando detecta ataques refletidos (reflected) de cross-site scripting (XSS). Embora essas proteções sejam amplamente desnecessárias em navegadores modernos quando os sites implementam uma forte Política de segurança de conteúdo (Content Security Policy) que desabilita o uso de JavaScript embutido, eles ainda podem oferecer proteções para usuários de navegadores mais antigos que ainda não suportam CSP.

Faça seu orçamento sem compromisso!

Dúvidas em como proteger sua aplicação web ou página web? Entre em contato e ajudaremos a encontrar uma solução.