Säkerhet – inte bara en rankingfaktor

Vad innebär det att ha en säker webbplats? Det kan vara flera saker:

• Hemlig information förblir hemlig.
• Dina besökare tar inga risker när de besöker webbplatsen.
• Informationen är tillgänglig när det behövs.
• Webbplatsen anses trovärdig och får bättre ranking.
  

I det populära mätverktyget Webperf ges webbplatser högre poäng om de uppvisar god
säkerhet och därför kan vi lockas till att putsa på vår CSP och skruva på inställningar för
HSTS och annat. Sannolikt lyfter även Google med flera din webbplats om den anses vara
säker. Men vad betyder allt detta förutom att du får bättre ranking?

Säkerhet för dina besökare

Besökare kan i värsta fall råka illa ut när de besöker din webbplats. Även om du täppt till alla
hål för hackare att bråka med dina besökare genom din webbplats så finns det sätt att lämna
garantier för detta så att besökare och sökmotorer förstår att webbplatsen är trygg. Om du
inför en Content Security Policy (CSP) så gör du det tydligt för moderna webbläsare på vilka
sätt den får ladda och använda resurser. På detta sätt omöjliggör du hackarens försök att
använda listiga knep med iframes, javascript och annat som kan lura din besökare. Jag
rekommenderar att börja jobba med CSP direkt i nya webbplatser då det kan vara
tidskrävande i efterhand att inventera vilka delar på en webbplats som ska tillåtas och vad
som kan blockeras.

I Sitevision finns det fler inställningar som ofta kan aktiveras utan bekymmer för att direkt
förbättra säkerheten för besökare:

• Strict-Transport-Security (HSTS) = Kräver att webbplatsen alltid laddas genom
  HTTPS.
• Referrer-Policy = Skickar inte besökt adress till tredjepart (kan innehålla personliginformation).
• X-Content-Type-Options = Motverkar ”mime-sniffing” för nedladdade resurser.

Säkerhet för servern

Att skydda servern innebär att begränsa åtkomst till hemlig information men även att se till att
din webbplats alltid är åtkomlig för din målgrupp. Till att börja med är det viktigt att vara
försiktig med behörigheterna. Använd federerad inloggning med tvåfaktorsautentisering om
möjligt, även för konsulter, då inloggning med vanligt användarnamn och lösenord anses
vara ett svagt skydd – mycket på grund av den mänskliga faktorn.

Om en RestApp byggs för extern åtkomst så bör ett användarkonto skapas för åtkomst
endast till appen. Om denne användare ges behörighet till mer än bara appen finns risk att
det utnyttjas. I stället kan appen få åtkomst till resurser via en tjänsteanvändare, som i sin tur
inte har möjlighet att logga in. Generellt gäller det att ge användare behörighet till det den
verkligen behöver, under den tid det behövs (principle of least privilege). Behörigheter bör
även hanteras genom grupper än per individ, för att göra det enklare att städa upp i
efterhand.

Protokollet WebDAV kan underlätta i migrering av webbplatser eftersom det tillåter både
läsning och skrivning av filer, men undvik att använda ”/webdav” i sökvägar på webbplatsen
då det blir en tydlig måltavla för attacker.

Egenutvecklade WebAppar och RestAppar kan utgöra ett säkerhethetsproblem om de går
långsamt och använder mycket resurser av servern. Det är enkelt för attackerare att hitta
sidor som laddar ovanligt långsamt och fokusera DDoS-attacker mot dessa. Därför är det bra
att mäta appars prestanda med parametern ?profiling=true även ur ett säkerhetsperpektiv.

Förberedd en kriswebb

Om din webbplats driftas on-prem har du säkert precis som Sitevision Cloud redundans i
internetförbindelser och elförsörjning samt diverse säkerhetsrutiner kring det fysiska, men om
det värsta skulle hända så vore det bra att ha förberett en kriswebb. Syftet med en sådan
webbplats är att ha den viktigaste informationen tillgänglig för din målgrupp i händelse av
kris, även om den primära servermiljön inte är nåbar. I detta läge är det viktigt att miljön för
kriswebben finns på en separat geografisk plats, helst inom Sveriges gräns. Sitevision har ett
paketerat erbjudande för detta för både on-prem- och cloudkunder.

Vill du veta mer?

Att se över säkerheten på din webbplats ger dig både en bättre rankingfaktor samt en
minskad risk att dina besökare eller din information råkar illa ut. Åtgärderna är ibland triviala
och ibland mer komplexa – och det finns mycket att justera. I den här artikeln har jag
fokuserat på några vanliga punkter, men det finns mer: SRI, CORS, CSRF, DKIM… Kontakta
gärna mig för att se hur vi kan hjälpa dig med ditt säkerhetsarbete!

Oskar Åkerlund, Consid
Oskar.akerlund@consid.se