Setari de securitate

screen-shot-2016-09-11-at-16-39-47

Am facut o serie de setari de securitate pentru a duce siteul de la asta:

screen-shot-2016-09-11-at-16-39-47

la asta:

screen-shot-2016-09-11-at-17-39-53

Ceea ce pe moment a cam nenorocit din functionalitate. Am corectat tot ceea ce mi s-a parut suficient de evident si ce a dat erori in debug, insa daca cumva dati peste imagini care nu se incarca sau scripturi care nu se executa corect atunci va rog sa-mi lasati un comentariul cu linkul paginii.

ACTUALIZARE: Am scos „Content-Security-Policy”, iar nivelul de securitate o sa ramana B:

screen-shot-2016-09-11-at-16-40-34

Am facut asta din doua motive. Primul e ca imi cauza o latenta de 4 secunde peste timpul de raspuns normal (multumesc Ice), iar al doilea e ca presupunea sa fac un whitelist pentru fiecare host in parte de pe care incarc elemente media gen CSS, JS, font, imagini sau frameuri. Ori lucrul asta presupune o munca colosala mai ales pe un blog unde exista integrari externe.

Utilizarea unui header precum „Content-Security-Policy” mi se pare o implementare destul de rudimentara pentru mainstream, dar desigur eu n-am site de banca sa-mi pese. Chiar si asa nivelul de protectie conferit de headerul in cauza se poate obtine utilizand un WAF (Web Application Firewall).