CSP (Content Security Policy)

Kapcsolódó szolgáltatás Kiberbiztonság

MEGHATÁROZÁS

A Content Security Policy egy HTTP response header (vagy meta tag), ami megmondja a böngészőnek, milyen forrásból tölthet be scriptet, stílust, képet, fontot, iframe-et, és kihez nyithat connect-et. A jól beállított CSP a tárolt XSS és a clickjacking kockázat nagy részét levágja, mert a támadó által beinjektált inline script egyszerűen nem fut. Tipikus buktatók: 'unsafe-inline' és 'unsafe-eval' meghagyása CMS vagy régi React miatt, ami gyakorlatilag kikapcsolja a védelmet, helyette nonce vagy hash; nem tett ki report-uri vagy report-to endpointot, így nem tudni mi tört össze produkcióban; harmadik fél (Stripe, Sentry, Hotjar) domainjeinek karbantartás nélküli hozzáadása; és a Strict-Dynamic működésének félreértése. Új projektnél report-only módban indul, és csak akkor kapcsoljuk éles módba, amikor a riportok elcsendesedtek.

KAPCSOLÓDÓ FOGALMAK06

Threat model→
Strukturált gyakorlat, ami végigveszi a rendszer szereplőit, támadási felületét, kockázatait és kontrolljait. Minden DField-projektben ez az első nap, még a kód előtt.
Pentest (Penetrációs teszt)→
Kézi és eszközös támadás-szimuláció, amivel kiderül, hogy egy támadó mit tudna elérni. Nálunk a találatok PR-ekként jönnek a repódba, nem 80 oldalas PDF-ként.
DevSecOps→
Biztonság mint folyamatosan futó CI-lépés (SAST, DAST, SCA, IaC-scan), nem éves projekt. Minden push ellen fut; minden sprint fix biztonsági bugot is.
MFA (Multi-faktoros auth)→
Kétfaktoros vagy több faktor (TOTP, WebAuthn, biometria) az egy jelszón felül. SaaS-nak ma kötelező · enterprise-beszerzés lenullázza a bevételt nélküle.
SOC 2→
Amerikai auditálási keretrendszer a bizalmassági, integritási, elérhetőségi és adatvédelmi kontrollokra. SaaS-nál a Type II audit (6–12 hó megfigyelés) a szokásos enterprise-alapvetés.
ISO 27001→
Nemzetközi szabvány az információbiztonsági menedzsmentrendszerre (ISMS). Európában gyakran elvárt SOC 2 helyett vagy mellett. 3 éves certifikációs ciklus.

EMLÍTÉSEK A BLOGON05