Cabeceras de seguridad en Apache - PHP





Existen diferentes cabeceras o headers de seguridad para sitios web brindando una seguridad extra a los usuarios.

X-Content-Type

Para evitar algunos tipos de drive-by-descargas. Está opción rechazará las respuestas con tipos MIME incorrectos si el servidor envía la respuesta de cabecera "X-Content-Type-Opciones: NOSNIFF". Esta es una característica de seguridad que ayuda a prevenir los ataques basados ​​en el tipo MIME confusión. evitando que se envie al navegador el archivo.

en .htaccess


Header set X-Content-Type-Options nosniff

en PHP

header('X-Content-Type-Options:nosniff');

Preveer Ataques Clickjacking

Las posibles opciones de esto son:

  • SAMEORIGIN: Esta configuración permitirá que la página que se mostrará en el marco en el mismo origen que la propia página.
  • DENY: Esta configuración evitará una página que muestra en un marco o un iframe.
  • ALLOW-FROM uri: Esta configuración permitirá que la página que se mostrará sólo en el origen especificado.

en .htaccess


Header always append X-Frame-Options SAMEORIGIN

en PHP

header('X-Frame-Options:SAMEORIGIN');

XSS-Protection

La cabecera X-XSS-Protection se utiliza para activar el filtro XSS que poseen los navegadores nuevos.

Se trata de una capa de seguridad adicional que bloquea ataques XSS

en .htaccess


Header set X-XSS-Protection “1; mode=block”

en PHP

header('X-XSS-Protection:1;mode=block');

HTTP Strict Transport Security (abreviado como HSTS)

Es una capa de seguridad que le indica a los navegadores que deben usar el protocolo HTTPS

Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains;"

en PHP

$isHttps = !empty($_SERVER['HTTPS']) && strtolower($_SERVER['HTTPS']) != 'off';
if ($isHttps)
{ header('Strict-Transport-Security: max-age=15768000');}

Resumiendo:

.htacces


header('X-Content-Type-Options:nosniff');
Header always append X-Frame-Options SAMEORIGIN
Header set X-XSS-Protection “1; mode=block”

Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains;"

en PHP

header.php

header('X-Content-Type-Options:nosniff');
header('X-Frame-Options:SAMEORIGIN');
header('X-XSS-Protection:1;mode=block');
$isHttps = !empty($_SERVER['HTTPS']) && strtolower($_SERVER['HTTPS']) != 'off';
if ($isHttps)
{ header('Strict-Transport-Security: max-age=15768000');}

Verificar con Mozilla
Observatory.Mozilla

Revisar tu sitio:
Sucuri

Lectura recomendada:
Sucuri



Otras artículos de interés:

Descripción General de la Funcionalidad del Firewall en la Conexión a Internet
Inicialmente cuando las redes fueron creadas, se pretendía que se conectaran computadoras confiables. Con el transcurso del tiempo, las agrupaciones de redes llegaron a conectarse, introduciendo la capacidad de que una entidad desconocida de una r...
Evitar (combatir) envio de Spam centOS + cPanel
El SPAM es uno de los males que sufre la Internet, y los que poseen servicios de hosting están luchando para contrarestar este problema, aforunadamente existe herramientas que pueden ayudarnos prevenir que nuestros clientes se su...
INTRODUCCIÓN A LA CRIPTOGRAFÍA
La palabra Criptografía viene del griego Kryptos, escondido, y Graphos, escritura. Es decir, cuando hablamos de Criptografía estamos hablando de Escritura escondida. Se trata de escribir algo de manera que otra persona que quiera leer lo qu...
Discos RAID
RAID (Redundant Array of Inexpensive Disks): Consiste en una serie de sistemas para organizar varios discos como si de uno solo se tratara pero haciendo que trabajen en paralelo para aumentar la velocidad de acceso o la seguridad frente ...
Vinetto: examina los archivos Thumbs.db desde Linux
Vinetto es una herramienta forense para examinar archivos Thumbs.db generados en el sistema operativo MS Windows. Es un script en Python para ser usado desde la consola. Debería funcionar sin problemas en cualquier distribución Linux. ...
Conectando OpenOffice a MySQL
Al manejar una base de datos de MySQL desde OpenOffice.org Base y me di cuenta de la poca información que hay sobre el tema en castellano, por lo que he decidido ‘traducir’ (libremente, por lo que me basare en el manual para hac...
Monografía de Datos
Indice 1. El Concepto de Datos 2. El Concepto de Información 3. Diferencia entre Datos e información 4. El Concepto de Procesamiento de Datos 5. Concepto de Procesamiento Distribuido y Centralizado 6. Estructura de Datos utilizados en el pro...
fwsnort (reglas de Snort en reglas iptables)
fwsnort convierte reglas de Snort en reglas iptables y genera un script shell que ejecuta los comandos de iptables resultantes. Este conjunto de reglas permite que el tráfico de red que coincide con las firmas de Snort (ataques y otras ...
¿Sabías que MSN Messenger Tiene un SpyWare?
El MSN Messenger posee un SpyWare (espía) muy famoso es el QMGR. Para limpiar este espía de Microsoft tendrás que seguir estos pasos: Renombra los archivos: Loadqm.exe, qmgr.dll, qmgrprxy.dll y progdl.dll como por ejemplo: Loadqm.old y qmgr.d_...
Cómo diseñar un sitio web exitosa!!!
Cualquier persona puede construir un sitio web; sin embargo, no todo el mundo puede construir un sitio web capaz de generar dinero. Un diseñador debe dedicarle mucho tiempo a establecer cuál va a ser el propósito de su página y cómo van a inter...

Brindanos
un o una


Redes Sociales

Publicidad

Virtualización de Servicios y Redes

Categorías


Planeta Vaslibre

Blog Roll


Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • cabeceras
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra