HTTPS, HSTS, XSS, ve SSRF¶
Siteler Arası Komut Çalıştırma (XSS)¶
Birçok benzer sistemin aksine, OpenStack paneli çoğu alanda Unicode karakter setinin tamamını sağlar. Bu, geliştiricilerin siteler arası komut (XSS) için saldırı vektörlerini açan kaçak hatalar yapmak için daha az izin verdiği anlamına gelir.
Panel, geliştiricilere XSS güvenlik açıklarını önlemek için araçlar sağlar, ancak geliştiriciler bunları doğru kullanırsa çalışırlar. mark_safe işlevinin kullanımına, özel şablon etiketleriyle is_safe kullanımı, otomatik şapka etiketi, otomatik kaçış kapatıldığı her yerde ve herhangi bir JavaScript’in kullanıldığı özel gösterge panolarını denetleyin bu da yanlış bir şekilde kaçılan verileri değerlendirebilir.
Siteler Arası Talep Sahteciliği (CSRF)¶
Django, siteler arası talep sahteciliği (CSRF) için özel katman yazılımına sahiptir. Ayrıntılı bilgi için, Django belgelerine bakın.
OpenStack paneli, geliştiricilerin çapraz site komut dosyası çalıştırma güvenlik açıklarını, özel panellerle başlatmalarından vazgeçirmek için tasarlanmıştır. Birden fazla JavaScript örneğini kullanan paneller, @csrf_exempt dekoratörünün uygun olmayan kullanımı gibi güvenlik açıkları açısından denetlenmelidir. Önerilen bu güvenlik ayarlarını takip etmeyen herhangi bir panel, kısıtlamalar rahatlamadan önce dikkatlice değerlendirilmelidir.
Çerçeveler Arası Komut Dosyası Çalıştırma (XFS)¶
Eski tarayıcılar, Çerçeveler Arası Komut Dosyası Çalıştırma (XFS) güvenlik açığına karşı halen savunmasızdır, bu nedenle OpenStack paneli, iframelerin dağıtımda kullanılmadığı ek güvenlik önlemlerine izin veren bir DISALLOW_IFRAME_EMBED seçeneği sunmaktadır.
HTTPS¶
Gösterilen bir sertifika yetkilisinin (CA) geçerli ve güvenilir bir sertifikasını kullanarak ön panelin güvenli bir HTTPS sunucusunun arkasına yerleştirin. Özel organizasyon tarafından verilen sertifikaların güveninin kökü, tüm kullanıcı tarayıcılarına önceden yüklendiğinde uygundur.
Panel’e gelen HTTP isteklerini, tam HTTPS URL’lerine yönlendirecek şekilde yapılandırın.
HTTP Sıkı Taşıma Güvenliği (HSTS)¶
HTTP Sıkı Taşıma Güvenliği (HSTS) kullanmanız şiddetle tavsiye edilir.
Not
HTTPS işlevselliğine sahip bir HTTP sunucusu kullanmak yerine, web sunucunuzun önünde bir HTTPS vekil kullanıyorsanız, SECURE_PROXY_SSL_HEADER değişkenini değiştirin. SECURE_PROXY_SSL_HEADER değişkenini değiştirmeyle ilgili bilgi için Django belgeleri <https://docs.djangoproject.com/> ne bakın.
HSTS yapılandırması da dahil olmak üzere HTTPS konfigürasyonları için daha özel öneriler ve sunucu yapılandırmaları için Güvenli iletişim bölümüne bakın.
