Cabeceras de seguridad en Apache - PHP




Existen diferentes cabeceras o headers de seguridad para sitios web brindando una seguridad extra a los usuarios.

X-Content-Type

Para evitar algunos tipos de drive-by-descargas. Está opción rechazará las respuestas con tipos MIME incorrectos si el servidor envía la respuesta de cabecera "X-Content-Type-Opciones: NOSNIFF". Esta es una característica de seguridad que ayuda a prevenir los ataques basados ​​en el tipo MIME confusión. evitando que se envie al navegador el archivo.

en .htaccess


Header set X-Content-Type-Options nosniff

en PHP

header('X-Content-Type-Options:nosniff');

Preveer Ataques Clickjacking

Las posibles opciones de esto son:

  • SAMEORIGIN: Esta configuración permitirá que la página que se mostrará en el marco en el mismo origen que la propia página.
  • DENY: Esta configuración evitará una página que muestra en un marco o un iframe.
  • ALLOW-FROM uri: Esta configuración permitirá que la página que se mostrará sólo en el origen especificado.

en .htaccess


Header always append X-Frame-Options SAMEORIGIN

en PHP

header('X-Frame-Options:SAMEORIGIN');

XSS-Protection

La cabecera X-XSS-Protection se utiliza para activar el filtro XSS que poseen los navegadores nuevos.

Se trata de una capa de seguridad adicional que bloquea ataques XSS

en .htaccess


Header set X-XSS-Protection “1; mode=block”

en PHP

header('X-XSS-Protection:1;mode=block');

HTTP Strict Transport Security (abreviado como HSTS)

Es una capa de seguridad que le indica a los navegadores que deben usar el protocolo HTTPS

Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains;"

en PHP

$isHttps = !empty($_SERVER['HTTPS']) && strtolower($_SERVER['HTTPS']) != 'off';
if ($isHttps)
{ header('Strict-Transport-Security: max-age=15768000');}

Resumiendo:

.htacces


header('X-Content-Type-Options:nosniff');
Header always append X-Frame-Options SAMEORIGIN
Header set X-XSS-Protection “1; mode=block”

Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains;"

en PHP

header.php

header('X-Content-Type-Options:nosniff');
header('X-Frame-Options:SAMEORIGIN');
header('X-XSS-Protection:1;mode=block');
$isHttps = !empty($_SERVER['HTTPS']) && strtolower($_SERVER['HTTPS']) != 'off';
if ($isHttps)
{ header('Strict-Transport-Security: max-age=15768000');}

Verificar con Mozilla
Observatory.Mozilla

Revisar tu sitio:
Sucuri

Lectura recomendada:
Sucuri



Otras artículos de interés:

Actualizar al Kernel 3.6 en Ubuntu / LinuxMint
Novedades del Kernel 3.6: Soporte a la suspensión híbrida. Un componente que posee Windows y OS X desde hace tiempo y que llega al nuevo kernel de Linux. Este tipo de suspensión permite copiar los contenidos d...
Acelerando arranque de Ubuntu
1.-Editamos el fichero sudo gedit /etc/usplash.conf y cambiamos la resolución de pantalla a 1024×768. 2.-Editamos el fichero sudo gedit /boot/grub/menu.lst buscamos...
¿Sabías que MSN Messenger Tiene un SpyWare?
El MSN Messenger posee un SpyWare (espía) muy famoso es el QMGR. Para limpiar este espía de Microsoft tendrás que seguir estos pasos: Renombra los archivos: Loadqm.exe, qmgr.dll, qmgrprxy.dll y progdl.dll como por ejemplo: Loadqm.old y qmgr.d_...
Windows vs. Linux, Mitos y Realidades
En un enlace en los servidores de Microsoft, que data del 2003 y para esa fecha "probablemente" el autor tendría algunos aciertos sobre lo que escribe. El enlace fue enviado a la lista de seguridad0.com donde los integrantes...
Instalar NTP en CentOS 6
Desde la consola: Instalamos: yum install ntp ntpdate Activamos el servicio: chkconfig ntpd on Iniciamos el servicio servicio ntpd start ...
Ubuntu vs Windows
Muchas personas hemos oido hablar muy bien sobre el uso de linux en un ordenador de escritorio pero no se atreven a hacer la migración. Intentaré mostrar en este artículo cómo funciona un escritorio de Linux apuntando l...
Nmap en el Punto de Mira
Este texto es extraído de la e-revista SET37 de Saqueadores Ediciones Técnicas (http://www.set-ezine.org) donde explican el uso de ...
Mejorar el rendimiento de nuestras PC si usamos MS-Windows XP
La gran mayoría de usuarios estan desprotegidos ante una gran cantidad de malware(1), virus(2), rootkits(3) entre otras porquerías que encuentran cuando navegan por la Internet. Te explicaré en forma fácil y sencillas que debes hacer...
Cómo diseñar un sitio web exitosa!!!
Cualquier persona puede construir un sitio web; sin embargo, no todo el mundo puede construir un sitio web capaz de generar dinero. Un diseñador debe dedicarle mucho tiempo a establecer cuál va a ser el propósito de su página y cómo van a inter...
Ingeniería Inversa... una alternativa para llegar al conocimiento
Si escribimos en Google.com las palabras Ingeniería Inversa, nos devuelve 328,000 páginas en español y inglés. Este texto no pretende ser un manual de como hacer Ingeniería Inversa solo es un bosquejo para dar una idea general de lo que es....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • cabeceras
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra