A Content Security Policy (CSP) Hatékony Beállítása az Online Biztonságért

Tartalomvédelmi irányelvek beállítása magánügyfeleknek

A Tartalomvédelmi irányelvek beállítása akkor fontos, ha egy weboldalnál csökkenteni kell a rosszindulatú kód, az idegen forrásból betöltött elem és az adatvédelmi hiba kockázatát. Ez nem látványos munka, de sok esetben pont ez dönti el, hogy egy oldal biztonságosabban működik vagy továbbra is nyitva hagy felesleges réseket. Én azt látom, hogy a magánügyfelek gyakran csak akkor keresnek szakembert, amikor már hibát jelez egy ellenőrző eszköz, gond van a hirdetési mérőkóddal, vagy egy fejlesztő azt mondja, hogy rendbe kell tenni a biztonsági fejléceket.

Ez a feladat távolról is jól elvégezhető. A webbiztonsági szakember hozzáférést kér a szükséges felülethez, megnézi a jelenlegi beállításokat, feltérképezi a betöltött külső forrásokat, majd javaslatot ad a szabályokra. Utána lehet tesztelni, szigorítani és javítani. A Qjob.hu felületén olyan magánszakembert lehet keresni, aki nem céges csomagban, hanem konkrét feladatra vállal ilyen online munkát. Itt a lényeg nem az, hogy sok technikai kifejezés hangozzon el, hanem az, hogy a weboldal működése ne romoljon el a védelem miatt.

Tartalomvédelmi irányelvek ára

Az ár főleg attól függ, milyen összetett az oldal, hány külső szolgáltatás töltődik be, van e webáruház, űrlap, hirdetési mérés, beágyazott térkép, videó vagy fizetési kapcsolat. Szerintem a túl olcsó munka ezen a területen gyakran gyengébb minőséget jelent, mert a szakember ilyenkor csak bemásol egy általános szabályt. Ez néha még rosszabb is, mint a hiányzó beállítás, mert elronthatja az oldal működését, miközben valódi védelmet nem ad.

Tapasztalatom szerint egy kisebb oldalnál a munka néhány órától egy napig tart. Bonyolultabb rendszer esetén több körös tesztelés kell. Nem azért, mert a beállítás önmagában hosszú, hanem azért, mert minden betöltött elemnek meg kell maradnia működő állapotban.

CSP beállítás online munkafolyamata

A CSP beállítás jó esetben nem azzal kezdődik, hogy valaki azonnal éles szabályt ír a szerverre. Először meg kell nézni, milyen forrásokból tölt be a weboldal képet, betűtípust, szkriptet, stílust, keretet és adatkapcsolatot. Ezután lehet eldönteni, mit kell engedni és mit kell tiltani. Egy magánügyfélnek elég annyit értenie, hogy a böngésző utasítást kap arra, honnan fogadhat el tartalmat.

A munka általában rövid egyeztetéssel indul. A megrendelő elküldi az oldal címét, leírja, milyen rendszer fut mögötte, és megadja, milyen külső eszközök fontosak. Ilyen lehet statisztika, hirdetési rendszer, csevegőablak, hírlevél űrlap vagy fizetési modul. Ezután a szakember ellenőriz, javaslatot készít, majd tesztkörnyezetben vagy figyelési módban kipróbálja a szabályt. Csak ezután érdemes élesíteni.

Volt olyan eset, amikor egy ügyfél azért kért segítséget, mert egy biztonsági ellenőrző oldal piros hibát mutatott. Az első megoldás után eltűnt a hiba, de a kapcsolatfelvételi űrlap nem küldött üzenetet. A gondot egy túl szigorú kapcsolat szabály okozta. Ez jól mutatja, hogy a tartalombiztonsági szabályoknál nem elég a szép eredmény egy ellenőrző oldalon. A valódi mérce az, hogy az oldal védettebb legyen, és közben használható maradjon.

Tartalomvédelmi irányelvek szakember választása

A Tartalomvédelmi irányelvek beállítása olyan feladat, ahol nem csak általános webfejlesztői tudás kell. Jó, ha a webbiztonsági szakember érti a szerver oldali fejléceket, a böngésző működését, a külső szolgáltatások betöltését és a gyakori hibákat. Nem baj, ha nem ígér azonnali végleges szabályt. Sőt, szerintem az a jobb jel, ha először kérdez és ellenőriz.

Érdemes megnézni, kér e listát a használt külső rendszerekről. Kérdez e arról, hogy van e tesztkörnyezet. Elmagyarázza e, mi fog történni akkor, ha egy szabály túl szigorú lesz. Egy jó online szakember nem terheli túl a megrendelőt technikai részletekkel, de nem is intézi el annyival, hogy majd beállítja. A kettő között van az egészséges megoldás. Röviden elmondja, mit módosít, miért módosítja, és hogyan lehet visszaállni, ha valami nem működik.

Fontos a kommunikáció is. Távoli munkánál a megrendelő nem látja, mi történik a háttérben. Ezért jó, ha a szakember rövid státuszt ad a munka közben. Nem kell hosszú beszámoló. Elég annyi, hogy megtörtént az ellenőrzés, a próba szabály elkészült, két külső forrás még hibát okoz, és ezek javítása folyamatban van.

Tartalombiztonsági szabályok gyakori hibái

Sokan ott hibáznak, hogy egy példakódot másolnak be a saját oldalukra. Ez elsőre gyors megoldásnak tűnik, de a weboldalak ritkán egyformák. Más a sablon, más a bővítmény, más a mérőkód, más a képtár és más a fizetési kapcsolat. Egy általános szabály gyakran túl engedékeny vagy túl szigorú. Egyik sem jó.

A túl engedékeny szabály nem ad elég védelmet. A túl szigorú szabály pedig elronthat képeket, betűtípusokat, gombokat, űrlapokat vagy beágyazott elemeket. A megrendelő ilyenkor csak azt látja, hogy valami eltűnt vagy nem kattintható. A háttérben viszont egy tiltott forrás miatt áll meg a működés. Ezért kell tesztelni több aloldalon, nem csak a főoldalon.

Gyakori gond az is, hogy nincs átadási leírás. A beállítás elkészül, de később új hirdetési kód, új csevegő modul vagy új betűtípus kerül az oldalra. Ha senki nem tudja, hogyan kell bővíteni a szabályokat, újra hiba jelenik meg. Én azt látom, hogy egy rövid, érthető leírás sok későbbi kellemetlenséget megelőz.

CSP szabályok és minőségi elvárások

A minőségi munka itt nem attól lesz jó, hogy a szabály nagyon hosszú. Attól lesz jó, hogy pontos. Csak azokat a forrásokat engedi, amelyekre tényleg szükség van. Külön kezeli a szkripteket, stílusokat, képeket, betűtípusokat és kapcsolódásokat. És figyelembe veszi, hogy az oldalnak a látogató számára továbbra is hibamentesen kell működnie.

Magánügyfélként nem kell minden technikai részletet megtanulni. De pár dolgot érdemes kérni. Legyen előzetes állapotfelmérés. Legyen próba vagy legalább óvatos élesítés. Legyen ellenőrzés több oldalon. Legyen rövid összefoglaló arról, mi változott. Ha ez megvan, a tartalombiztonsági szabályok kezelése nem vak technikai beavatkozás lesz, hanem átlátható online munka.

A határidőnél is érdemes reálisan gondolkodni. Egy egyszerű oldalnál gyors lehet a folyamat. Egy összetett oldalnál viszont a kapkodás több hibát okozhat, mint amennyi időt megspórol. Szerintem jobb egy nappal később átvenni a munkát, ha közben a szakember rendesen ellenőrizte a betöltéseket és a hibajelzéseket.

Tartalomvédelmi irányelvek átadása és későbbi módosítása

A Tartalomvédelmi irányelvek akkor használhatók hosszú távon, ha az átadás nem csak egy beillesztett kódsorból áll. A megrendelőnek tudnia kell, hol van beállítva a szabály, milyen külső forrásokat enged, és milyen esetben kell újra szakemberhez fordulni. Ez különösen akkor fontos, ha az oldalhoz később új bővítmény, hirdetési eszköz vagy külső űrlap kerül.

A távoli átadás lehet egyszerű. A szakember elküldi a végleges szabályt, röviden leírja a fő elemeit, megmutatja az ellenőrzés eredményét, és jelzi, milyen változtatásnál kell figyelni. Nem kell hosszú műszaki dokumentáció minden kis oldalhoz. De egy rövid összefoglaló hasznos. A megrendelő később ebből látja, hogy nem véletlenszerű javítás történt, hanem átgondolt beállítás.

Az online munka előnye, hogy minden lépés visszakövethető. Az egyeztetés, a hibajelzés, a módosítási kérés és az átadott eredmény írásban marad. Ez mindkét oldalnak biztonságot ad. A megrendelő pontosabban látja, mit kapott. A magánszakember pedig világosabban tudja kezelni a későbbi kéréseket, javításokat és kisebb bővítéseket.