CERN拥有数百个网络服务器,数千个网站和超过100万个网页。它们中的大多数都很有用,有明确的用途,很多都很时髦,做得很好,时髦或花哨,有些有点90年代的风格,还有一些已经过时或过时了。虽然美学可以被讨论,有争议,并且强烈依赖于主观品味,但有一些基本规则是所有的web服务器,网站和网页都应该遵循的——不是表面上的,而是更多的“底层”。一些美也在那里被欣赏。
所以,所有在CERN的网站管理员,想想你最喜欢的你管理和维护的网页。你的网页名称是否有意义,是否足够短和有意义?如果我使用关联的IP地址-我得到相同的内容吗?如果我浏览到一个子页面,任何子页面,即使我拼错了完整的URL(网页的完整路径),我能得到一些有意义的内容吗?你的网页是否适当地捕获错误并相应地重定向(例如,没有不存在的页面,需要认证或访问明显被禁止)?证书错误怎么办?或者任何其他错误或调试消息?您是否重定向到HTTPS,特别是当托管敏感和受访问保护的内容时?
如果你的回答是“没有”、“不知道”、“不知道”、“??”,或者你耸耸肩、捂脸或抽搐,那么是时候检查一下了!确保你有一个正确的登录页面,或者,如果你认为你不能有一个,确保你重定向到,例如cern.ch。配置标准的401、403和404错误消息,以避免披露错误或调试信息。如果您的页面运行Javascript、PHP或任何其他web内容管理软件,捕获任何其他错误消息,并确保它们不会显示给最终用户。类似地,删除所有默认信息,如Apache默认页面或Tomcat默认webapps、webinfo页面和其他模块和选项,这些都不是提供预期内容所必需的。从HTTP(端口80/tcp)重定向到HTTPS(端口443/tcp),以确保保密性和完整性。确保服务器不支持过时的加密协议,比如比1.2版本更老的SSL或TLS版本。确保站点的证书是有效的,受信任的,没有过期。不要忘记服务器上运行的软件。应该谨慎地开发它,并使用服务器设置提供所需的安全特性,如正确的日志记录和错误处理。
虽然忽略这些设置本身并不是安全关键,但攻击者可能仍然会认为整个设置是次优或平庸的,并认为值得深入研究(见我们的文章“数字破窗理论”)。这也显示出欧洲核子研究组织缺乏专业精神,并将其置于不利地位。因此,再次检查你的网络服务器,网站或网页,并为它拉皮条。解决这些问题。美化它,也在引擎盖下。利用外部指导。例如,CIS提供了免费的基准来强化底层的操作系统,以及一些web服务器软件和版本。Qualys SSL Labs提供了一些SSL/TLS配置分析。您也可以查看OWASP备忘单系列,以获得更具体的web开发实践指导。最后,看看我们为软件开发人员和网站管理员提供的更一般的建议
