مقدمة لأمن المحتوى للمبتدئين

المتصفحات: ما هو الشيء المشترك بينهما (ربما باستثناء كونها “زر الإنترنت”)؟ لا يمكنهم التمييز بين المحتوى الضار والحميدة. نظرًا لأنه كان لا بد من معالجة هذا الخلل ، تم تقديم أمان المحتوى.

ما الذي يجعل المحتوى ضارًا؟

يمكن أن يكون الكثير من هذا المحتوى الضار إما برمجة نصية عبر المواقع (XSS) أو النقر فوق. Clickjacking ، كما يوحي المصطلح ، هو شكل من أشكال إخفاء ارتباط تشعبي في محتوى موقع ويب آخر قابل للنقر. وبهذه الطريقة ، يتم إغراء المستخدم بأفعال لا يعرفها ، ويقوم بالنقرات التي لم يقصدها مطلقًا ، ويحتمل أن يكشف عن معلومات قيمة أو حتى سرية للمهاجم.

من ناحية أخرى ، يمكن أن تكون البرمجة النصية عبر المواقع أكثر خطورة لأنها تمثل 84٪ من مشكلات الأمان. تندرج البرمجة النصية عبر المواقع ضمن فئة إدخال الشفرة ، حيث يقوم الشخص الضار بتضمين المحتوى في موقع الويب والوصول إلى جميع المعلومات تحت مظلة الموقع الشرعي.

يشكل هذان العنصران المهاجمين الأكثر شيوعًا لموقع الويب الذي يتجاوز نفس سياسة الأصل. تعد هذه السياسة جانبًا أمنيًا مهمًا لعالم الويب ، حيث تتمثل آليتها في أنها تربط صفحتين على الويب فقط إذا كانتا تشتركان في نفس الأصل. في الممارسة العملية ، هذا يعني أنه إذا قام شخص ما بحقن محتوى ضار في صفحة ويب واحدة ، فلن يتمكن من الوصول إلى معلومات صفحة أخرى.

ماذا يمكنني أن أفعل كمبتدئ؟

يضمن هذا النموذج سرية البيانات حيث يوفر مالك موقع الويب مصادر محتوى آمنة وموثوقة وبالتالي مدرجة في القائمة البيضاء ويغطي مجموعة واسعة من الأنواع مثل HTML5 و JavaScript و CSS والصور وملفات الصوت وغيرها الكثير. يسمح معيار سياسة أمان المحتوى للمالكين بتحديد محتوى موقع الويب الخاص بهم مسبقًا سواء كان نصوصًا نصية أو موارد. يمكن أن تحتوي كل صفحة على سياسة أمان قياسية لتقليل الضرر في مثل هذه الحالات حيث يكون المهاجم قد قام بالفعل بحقن محتوى ضار. على سبيل المثال ، هناك العديد من الطرق التي يمكن للمالك من خلالها تحديد المحتوى الآمن وبالتالي أي واحد يمكن تحميله في كل صفحة دون مشاكل. الأكثر شيوعًا بين هؤلاء هم:

1) ثق فقط في البرامج النصية من نفس المصدر عبر HTTPS

2) يجب أن تأتي الصور المحملة من CDN معين

3) يجب عدم السماح بإطارات أو نصوص مضمنة

4) السماح فقط للخطوط من Google Fonts

تم تقديم معيار سياسة أمان المحتوى لأول مرة في عام 2004 وتطور وفقًا لذلك منذ ذلك الحين ، مع امتثال غالبية المتصفحات له. إنها أداة “لا غنى عنها” خاصة للشركات عبر الإنترنت التي تنفذ حسابات مستخدمين مثل المتاجر الإلكترونية أو البنوك أو وسائل التواصل الاجتماعي.

أترك رداً

لن يتم نشر عنوان بريدك الإلكتروني .