¿Consideración de PCI para los encabezados HTTP? [cerrado]

0

Recientemente, algunos de nuestros servidores fueron marcados por no implementar los encabezados HTTP adecuados en una exploración de Qualys.

Uno de los sitios que visito regularmente: enlace tiene implementados algunos buenos encabezados HTTP:

HTTP/1.1    200 OK
Date    Mon, 26 Jun 2017 23:05:15 GMT
Content-Type    text/html; charset=UTF-8
Transfer-Encoding   chunked
Connection  keep-alive
Set-Cookie  __cfduid=d7bd211d03cddfc95f5d3b27f75db3e151498518314; expires=Tue, 26-Jun-18 23:05:14 GMT; path=/; domain=.pentestit.com; HttpOnly
X-XSS-Protection    1;mode=block
Referrer-Policy no-referrer-when-downgrade
Link    <http://wp.me/8tJeS>; rel=shortlink
Vary    Accept-Encoding
X-Mod-Pagespeed pentestit.com
Cache-Control   max-age=0, no-cache, no-store, must-revalidate
X-Content-Type-Options  nosniff
X-Frame-Options SAMEORIGIN
X-UA-Compatible IE=Edge,chrome=1
Pragma  no-cache
Content-Language    en
Server  cloudflare-nginx
CF-RAY  3753cf6c01ed6c88-SJC

A excepción de la Política de seguridad de contenido, parece estar haciendo todo correctamente.

¿Cuáles son sus puntos de vista acerca de fallar en los encabezados HTTP incorrectos? Intenté buscar información relacionada con esto, pero no pude encontrar nada.

Creo que esto debería ser definitivamente un error de PCI, ya que tiende a seguir el top 10 de OWASP que tiene una configuración errónea de seguridad A5 ( enlace ).

Mi pregunta es: ¿debería fallar si no implemento los encabezados HTTP y NO HTTPS correctos? Estoy haciendo todas las demás cosas correctamente, pero faltan algunos encabezados HTTP.

    
pregunta Metahuman 27.06.2017 - 01:20
fuente

1 respuesta

1

Algunos encabezados son un problema más grande que otros. por ejemplo, si no planea servir ningún navegador de IE, no me preocuparía mucho por las opciones de tipo de contenido X: no-sniff.

La efectividad de algunos es discutible. por ejemplo, X-XSS-Protection (¿acabo de provocar una guerra de comentarios? :)).

Algunos encabezados son definitivamente útiles casi para cada aplicación. por ejemplo, HTTPOnly; seguro

Otros encabezados son importantes en función de la sensibilidad de su aplicación, por ejemplo, la seguridad de transporte estricta.

sin embargo, en general, la mayoría de estas son protecciones de seguridad de barrera baja (CSP y HSTS / HPKP necesitan preparación, sí) y no hay una buena razón para no usarlas.

    
respondido por el Sas3 27.06.2017 - 05:47
fuente

Lea otras preguntas en las etiquetas