Mange nettsteder er langt mer sårbare for å bli utnyttet i angrep enn de burde være, gitt at det er mye som kan gjøres på sikkerhetssiden med små og enkle tiltak.
I forbindelse med at det i fjor ble oppdaget en rekke sårbarheter knyttet til krypteringsløsninger og sikkerhetssertifikater for nettsteder, fikk SSL Server-testen til Qualys mye oppmerksomhet. Den sjekker om sikkerheten rundt sertifikatene er satt opp på best mulig måte og gir nettstedet en karakter basert på dette.
Denne testen har utvilsomt ført til økt bevissthet rundt disse problemstillingene, og her i Norge skjerpet flere nettbanker sikkerheten etter å ha kommet dårlig ut i denne testen.
HTTP-headere
Men det er også faktorer som testen til Qualys ikke tar for seg. Dette inkluderer visse HTTP-headere som alle kan bidra til stoppe eller vanskeliggjøre ulike typer angrep mot dem som besøker nettstedet.
En mindre kjent test er securityheaders.io, som The Register omtaler denne uken. Der kan man teste om nettstedet man er interessert i, bruker disse headerne. Testen er utviklet av den britiske IT-sikkerhetskonsulenten Scott Helme.
I alt ser testen etter seks ulike headere, hvor av fire er aktuelle for alle nettsteder. Headerne kan blant annet gjøre det vanskeligere å få til blant annet XSS-angrep (Cross-Site Scripting) og redusere faren for «drive-by»-nedlastning.
Den femte testen sjekker om nettstedet har tatt i bruk HTTP Strict Transport Security (HSTS), som forteller nettleseren at nettstedet kun godtar HTTPS-forbindelser, også i en oppgitt periode framover i tid.
I tillegg testes det om nettstedet benytter HTTP Public Key Pinning (HPKP), som gir nettlesere beskjed om hvilke kryptografiske identiteter som skal aksepteres fra nettstedet i framtiden. Dette beskytter nettsteder mot MiTM-angrep (Man in The Middle) hvor det brukes falske sikkehetssertifikater.
- Les om HSTS her: IE blir mer angrepssikker
Rom for forbedring
Av de snart 150 000 nettstedene som så langt har blitt testet, har nesten ti prosent oppnådd karakteren A+, noe som innebærer at alle de aktuelle sikkerhetsfunksjonene er i brukt.
Men nesten en tredel av nettstedene har fått karakteren F.
Nå skal man ikke kaste stein i glasshus. Heller ikke digi.no kommer godt ut i testen. Vi håper å kunne vise til bedre resultater om ikke så lenge.
