Риски и последствия нарушений
- Отсутствие HTTPS — предупреждение браузера, потеря трафика и доверия
- Без HSTS возможна SSL-stripping атака
- Открытый .env файл — утечка паролей и API-ключей
- Без DMARC злоумышленники могут рассылать email от имени домена
- Ненастроенный CSP — риск XSS-атаки на пользователей
Для кого актуально
- Все сайты, обрабатывающие данные пользователей
- Сайты с онлайн-оплатой и передачей финансовых данных
- Корпоративные сайты со входом для сотрудников
Частые вопросы
Вопрос
Что такое HSTS и зачем он нужен?
HTTP Strict Transport Security — заголовок, который приказывает браузеру всегда использовать HTTPS для данного домена. Защищает от перехвата на ненадёжных сетях даже если пользователь набрал HTTP.
Вопрос
Что проверяет SitePravo в части безопасности?
Публичный периметр: SSL, заголовки, DNS-записи, наличие открытых служебных файлов. Не проводит тестирование на проникновение, не обращается к закрытым системам. Для глубокого аудита безопасности — используйте AuditGuard.
Вопрос
Что такое security.txt?
Стандартный файл /.well-known/security.txt, в котором указываются контакты для сообщения об уязвимостях. Рекомендован IETF RFC 9116, ускоряет ответственное раскрытие.