Nový bezpečnostní test stránek

Odpovědět
Uživatelský avatar
x-rated
Administrátor
Příspěvky: 1373
Registrován: 10.01.2012, 10:13
Centrio internet: 1000/500 Mb/s
Centrio televize: mám
Centrio telefon: mám
Bydliště: Praha 8 Kobylisy
Kontaktovat uživatele:

Nový bezpečnostní test stránek

17.03.2018, 10:54

komu neni lhostejný správný nastavení bezpečnosti webovejch stránek, který provozuje nebo který navštěvuje, může ho otestovat na nový stránce https://tls.arodax.com/ :) stránka na arodaxu je jenom grafická nástavba pro testovací script https://testssl.sh/, jedná se tedy o původní script bez jakejchkoliv úprav

kromě nastavení samotnýho tls certifikátu a šifrovacích klíčů se testujou i další zranitelnosti, takže výsledek poměrně komplexně vypovídá o tom, jak funguje webmaster spravující stránky i samotnej webhosting

test je poměrně náročnej na server, ze kterýho běží, proto se jednotlivý požadavky řaděj do fronty - najednou se vykonává vždycky jenom jeden test, tudíž se čas od času může stát, že bude nutný počkat třeba i pár minut, pokud někdo zadal víc požadavků před váma :D dobrý ale je, že hned při zařazení do fronty vám to vygeneruje odkaz na test, kterej si můžete uložit a na ten konkrétní výsledek se podívat kdykoliv pozdějc (neni tedy nutný čekat s otevřenym oknem, až na váš test dojde řada)

Obrázek

jinak spolu s tls.arodax.com je ještě pěknej tradiční test od qualysu https://www.ssllabs.com/ssltest/ a hodí se i https://securityheaders.io/ - jak už název napovídá, ten se zaměřuje hlavně na věci okolo CSP a HSTS

kdyby někoho zajímalo, proč centriozone nemá na tls.arodax.com známku A nebo dokonce A+, tak všechny ty varování se vztahujou k samotnýmu webhostingu a já nemám šanci je ovlivnit jinak, než možnou změnou webhostingu :( psal sem do wedosu, jak to budou řešit, ale dostalo se mi odpovědi, že nejspíš nijak, protože u wedosu pořád ještě z nějakýho důvodu provozujou historický šifrování pro extrémně přestárlý zařízení (android 2.x, windows xp bez sp3 apod.) :roll: jestli sem to dobře pochopil, tak pokud by byl na webhostingu jedinej a aktuální protokol tls 1.2, tak tenhle problém vůbec neni :? na druhou stranu ty zranitelnosti a slabý šifrovací klíče by neměly představovat žádný výrazný bezpečnostní riziko, tak to asi zatim nechám bejt a v roce 2020 se uvidí, co dál (do roku 2020 mám zaplacenej tenhle webhosting :D)

Obrázek

a když už se rejpu v tom webhostingu, tak jako nejlepší široko daleko se mi aktuálně jeví poměrně novej snackhost cloud hosting od společnosti vs hosting, kde nejsou podle všech zmiňovanejch testů žádný problémy :) viz třeba co sme dělali https://tls.arodax.com/cs/3271a8ee3b9d3 ... 84a49b2ba1, taky proto všechny nový weby od konce loňskýho roku automaticky dáváme jenom tam

resp. píše to jednu chybu - Lucky 13 Attack, která ale v současný době nemá žádný funkční řešení a pokus o její opravu by vyvolal zase jinou chybu :o takže tohle je prostě zatim nejlepší dosažitelnej výsledek, podobně to vidí i FBI :D https://tls.arodax.com/cs/cd9ab587d80c3 ... eac50ae28a bohužel někdo u nich už zapomněl na verzi se subdoménou www, kde mají těch bezpečnostních problémů víc https://tls.arodax.com/cs/dae249b47e6c3 ... ef095ba099 (proto je vhodný testovat vždycky verzi s www i bez www, popř. jiný subdomény)

tak když tak si něco otestujte, ideálně na všech třech testech, ať máte povědomí o tom, jak to kde vypadá a kam odesíláte svý data, jako třeba osobní údaje do formulářů apod. :)
x-rated
CentrioZone.cz admin
admin@centriozone.cz
Obrázek
tak přesně takhle už centrio internet nejede :(

Odpovědět