இணையப் பாதுகாப்பு ஹெடர்கள்: உள்ளடக்கப் பாதுகாப்பு கொள்கை (CSP) vs. ஜாவாஸ்கிரிப்ட் இயக்கம்

தொடர்ந்து மாறிவரும் இணையப் பாதுகாப்புச் சூழலில், உங்கள் இணையப் பயன்பாடுகளை கிராஸ்-சைட் ஸ்கிரிப்டிங் (XSS) போன்ற தாக்குதல்களிலிருந்து பாதுகாப்பது மிகவும் முக்கியமானது. உங்கள் ஆயுதங்களில் உள்ள இரண்டு சக்திவாய்ந்த கருவிகள் உள்ளடக்கப் பாதுகாப்பு கொள்கை (CSP) மற்றும் உலாவியில் ஜாவாஸ்கிரிப்ட் எவ்வாறு செயல்படுத்தப்படுகிறது என்பதைப் பற்றிய முழுமையான புரிதல் ஆகும். இந்த வலைப்பதிவு இடுகை CSP-யின் நுணுக்கங்களை ஆராய்ந்து, ஜாவாஸ்கிரிப்ட் செயலாக்கத்துடனான அதன் உறவை விளக்கி, உலகெங்கிலும் உள்ள டெவலப்பர்கள் மற்றும் பாதுகாப்பு நிபுணர்களுக்குச் செயல்முறை நுண்ணறிவுகளை வழங்கும்.

உள்ளடக்கப் பாதுகாப்பு கொள்கையை (CSP) புரிந்துகொள்ளுதல்

உள்ளடக்கப் பாதுகாப்பு கொள்கை (CSP) என்பது ஒரு சக்திவாய்ந்த பாதுகாப்புத் தரநிலையாகும், இது கிராஸ்-சைட் ஸ்கிரிப்டிங் (XSS) மற்றும் பிற குறியீடு உட்செலுத்துதல் தாக்குதல்களைத் தணிக்க உதவுகிறது. ஒரு குறிப்பிட்ட இணையப் பக்கத்திற்கு உலாவியால் ஏற்ற அனுமதிக்கப்படும் ஆதாரங்களைக் கட்டுப்படுத்த இது உங்களை அனுமதிக்கிறது. இதை உங்கள் வலைத்தளத்தின் உள்ளடக்கத்திற்கான ஒரு வெள்ளைப்பட்டியலாக (whitelist) நினைத்துப் பாருங்கள். ஒரு CSP-ஐ வரையறுப்பதன் மூலம், எந்த உள்ளடக்க ஆதாரங்கள் (ஸ்கிரிப்ட்கள், ஸ்டைல்கள், படங்கள், எழுத்துருக்கள் போன்றவை) பாதுகாப்பானவை மற்றும் அவை எங்கிருந்து வரலாம் என்பதை நீங்கள் அடிப்படையில் உலாவிக்குச் சொல்கிறீர்கள். இது HTTP ரெஸ்பான்ஸ் ஹெடர்களின் பயன்பாட்டின் மூலம் அடையப்படுகிறது.

CSP எவ்வாறு செயல்படுகிறது

CSP, Content-Security-Policy என்ற HTTP ரெஸ்பான்ஸ் ஹெடர் மூலம் செயல்படுத்தப்படுகிறது. இந்த ஹெடரில் எந்த ஆதாரங்கள் அனுமதிக்கப்படுகின்றன என்பதைக் குறிப்பிடும் சில வழிமுறைகள் (directives) உள்ளன. சில முக்கிய வழிமுறைகள் மற்றும் அவற்றின் செயல்பாடுகள் இங்கே:

• default-src: இது மற்ற அனைத்து fetch வழிமுறைகளுக்கும் ஒரு பின்னடைவு (fallback) வழிமுறையாகும். ஒரு குறிப்பிட்ட வழிமுறை வழங்கப்படவில்லை என்றால், default-src அனுமதிக்கப்பட்ட ஆதாரங்களைத் தீர்மானிக்கிறது. எடுத்துக்காட்டாக, default-src 'self'; ஒரே மூலத்திலிருந்து (origin) வரும் ஆதாரங்களை அனுமதிக்கிறது.
• script-src: ஜாவாஸ்கிரிப்ட் குறியீட்டிற்கான அனுமதிக்கப்பட்ட ஆதாரங்களை வரையறுக்கிறது. இது மிகவும் முக்கியமான வழிமுறையாகும், ஏனெனில் இது ஜாவாஸ்கிரிப்ட் செயலாக்கம் எவ்வாறு கட்டுப்படுத்தப்படுகிறது என்பதை நேரடியாக பாதிக்கிறது.
• style-src: CSS ஸ்டைல்ஷீட்களுக்கான அனுமதிக்கப்பட்ட ஆதாரங்களைக் குறிப்பிடுகிறது.
• img-src: படங்களுக்கான அனுமதிக்கப்பட்ட ஆதாரங்களைக் கட்டுப்படுத்துகிறது.
• font-src: எழுத்துருக்களுக்கான அனுமதிக்கப்பட்ட ஆதாரங்களை வரையறுக்கிறது.
• connect-src: இணைப்புகளுக்கான (எ.கா., XMLHttpRequest, fetch, WebSocket) அனுமதிக்கப்பட்ட ஆதாரங்களைக் குறிப்பிடுகிறது.
• media-src: ஆடியோ மற்றும் வீடியோவிற்கான அனுமதிக்கப்பட்ட ஆதாரங்களை வரையறுக்கிறது.
• object-src: Flash போன்ற செருகுநிரல்களுக்கான (plugins) அனுமதிக்கப்பட்ட ஆதாரங்களைக் குறிப்பிடுகிறது.
• frame-src: ஃபிரேம்கள் மற்றும் ஐஃபிரேம்களுக்கான (frames and iframes) அனுமதிக்கப்பட்ட ஆதாரங்களை வரையறுக்கிறது (பழமையானது, child-src பயன்படுத்தவும்).
• child-src: வெப் வொர்க்கர்கள் மற்றும் உட்பொதிக்கப்பட்ட ஃபிரேம் உள்ளடக்கத்திற்கான அனுமதிக்கப்பட்ட ஆதாரங்களைக் குறிப்பிடுகிறது.
• base-uri: ஒரு ஆவணத்தின் <base> உறுப்பில் பயன்படுத்தக்கூடிய URL-களைக் கட்டுப்படுத்துகிறது.
• form-action: படிவச் சமர்ப்பிப்புகளுக்கான சரியான இறுதிப்புள்ளிகளைக் (endpoints) குறிப்பிடுகிறது.
• frame-ancestors: ஒரு பக்கம் உட்பொதிக்கப்படக்கூடிய சரியான பெற்றோர்(parents) கூறுகளைக் குறிப்பிடுகிறது (எ.கா., ஒரு <frame> அல்லது <iframe>-இல்).

ஒவ்வொரு வழிமுறைக்கும் ஒரு மூல வெளிப்பாடுகளின் (source expressions) தொகுப்பை ஒதுக்கலாம். பொதுவான மூல வெளிப்பாடுகள் பின்வருமாறு:

• 'self': ஒரே மூலத்திலிருந்து (திட்டம், ஹோஸ்ட் மற்றும் போர்ட்) வரும் ஆதாரங்களை அனுமதிக்கிறது.
• 'none': அனைத்து ஆதாரங்களையும் தடுக்கிறது.
• 'unsafe-inline': இன்லைன் ஜாவாஸ்கிரிப்ட் மற்றும் CSS-ஐ அனுமதிக்கிறது. இது பொதுவாக ஊக்கப்படுத்தப்படுவதில்லை மற்றும் முடிந்தவரை தவிர்க்கப்பட வேண்டும். இது CSP வழங்கும் பாதுகாப்பை கணிசமாகக் குறைக்கிறது.
• 'unsafe-eval': eval() போன்ற செயல்பாடுகளைப் பயன்படுத்த அனுமதிக்கிறது, இவை பெரும்பாலும் XSS தாக்குதல்களில் பயன்படுத்தப்படுகின்றன. இதுவும் மிகவும் ஊக்கப்படுத்தப்படாத ஒன்று.
• data:: தரவு URL-களை (எ.கா., base64 குறியாக்கம் செய்யப்பட்ட படங்கள்) அனுமதிக்கிறது.
• blob:: blob: திட்டத்துடன் கூடிய ஆதாரங்களை அனுமதிக்கிறது.
• https://example.com: குறிப்பிட்ட டொமைனிலிருந்து HTTPS வழியாக ஆதாரங்களை அனுமதிக்கிறது. நீங்கள் https://example.com/assets/ போன்ற ஒரு குறிப்பிட்ட பாதையையும் குறிப்பிடலாம்.
• *.example.com: example.com-இன் எந்தவொரு துணை டொமைனிலிருந்தும் ஆதாரங்களை அனுமதிக்கிறது.

CSP ஹெடர்களின் எடுத்துக்காட்டுகள்:

CSP ஹெடர்கள் எவ்வாறு பயன்படுத்தப்படுகின்றன என்பதை விளக்க சில எடுத்துக்காட்டுகள் இங்கே:

எடுத்துக்காட்டு 1: ஜாவாஸ்கிரிப்டை ஒரே மூலத்திற்கு கட்டுப்படுத்துதல்

            Content-Security-Policy: script-src 'self';
            

              
                Copy
              
            
          

இந்தக் கொள்கை, பக்கத்தின் அதே மூலத்திலிருந்து மட்டுமே ஜாவாஸ்கிரிப்டை இயக்க உலாவியை அனுமதிக்கிறது. இது வெளிப்புற மூலங்களிலிருந்து உட்செலுத்தப்பட்ட எந்த ஜாவாஸ்கிரிப்டின் செயலாக்கத்தையும் திறம்பட தடுக்கிறது. இது பல வலைத்தளங்களுக்கு ஒரு நல்ல தொடக்கப் புள்ளியாகும்.

எடுத்துக்காட்டு 2: ஒரே மூலத்திலிருந்தும் ஒரு குறிப்பிட்ட CDN-லிருந்தும் ஜாவாஸ்கிரிப்டை அனுமதித்தல்

            Content-Security-Policy: script-src 'self' cdn.example.com;
            

              
                Copy
              
            
          

இந்தக் கொள்கை ஒரே மூலத்திலிருந்தும் மற்றும் cdn.example.com டொமைனிலிருந்தும் ஜாவாஸ்கிரிப்டை அனுமதிக்கிறது. இது தங்கள் ஜாவாஸ்கிரிப்ட் கோப்புகளை வழங்க CDN (Content Delivery Network) பயன்படுத்தும் வலைத்தளங்களுக்கு பொதுவானது.

எடுத்துக்காட்டு 3: ஸ்டைல்ஷீட்களை ஒரே மூலத்திற்கும் ஒரு குறிப்பிட்ட CDN-க்கும் கட்டுப்படுத்துதல்

            Content-Security-Policy: style-src 'self' cdn.example.com;
            

              
                Copy
              
            
          

இந்தக் கொள்கை CSS ஏற்றுவதை ஒரே மூலத்திற்கும் மற்றும் cdn.example.com-க்கும் கட்டுப்படுத்துகிறது, இது பிற மூலங்களிலிருந்து தீங்கிழைக்கும் ஸ்டைல்ஷீட்கள் ஏற்றப்படுவதைத் தடுக்கிறது.

எடுத்துக்காட்டு 4: ஒரு விரிவான கொள்கை

            Content-Security-Policy: default-src 'self'; script-src 'self' cdn.example.com; style-src 'self' fonts.googleapis.com; img-src 'self' data:; font-src fonts.gstatic.com;
            

              
                Copy
              
            
          

இது ஒரு சிக்கலான எடுத்துக்காட்டு ஆகும், இது ஒரே மூலத்திலிருந்து உள்ளடக்கம், ஒரே மூலத்திலிருந்தும் ஒரு CDN-லிருந்தும் ஜாவாஸ்கிரிப்ட், ஒரே மூலத்திலிருந்தும் Google Fonts-லிருந்தும் CSS, ஒரே மூலத்திலிருந்தும் தரவு URL-களிலிருந்தும் படங்கள் மற்றும் Google Fonts-லிருந்து எழுத்துருக்களை அனுமதிக்கிறது. உங்கள் தளம் வெளிப்புற ஆதாரங்களைப் பயன்படுத்தினால், அவற்றை நீங்கள் வெளிப்படையாக அனுமதிக்க வேண்டும் என்பதை நினைவில் கொள்ளுங்கள்.

CSP-ஐ அமல்படுத்துதல்

CSP-ஐ இரண்டு முதன்மை வழிகளில் அமல்படுத்தலாம்:

• அறிக்கை-மட்டும் முறை (Report-Only Mode): நீங்கள் Content-Security-Policy-Report-Only என்ற ஹெடரை அமைக்கலாம். இந்த ஹெடர் எந்த ஆதாரங்களையும் தடுக்காது, மாறாக மீறல்களை ஒரு குறிப்பிட்ட இறுதிப்புள்ளிக்கு (எ.கா., நீங்கள் கட்டுப்படுத்தும் ஒரு சேவையகம்) தெரிவிக்கிறது. இது ஒரு CSP கொள்கையை அமல்படுத்துவதற்கு முன்பு சோதித்துப் பார்ப்பதற்கு பயனுள்ளதாக இருக்கும், இது சாத்தியமான சிக்கல்களைக் கண்டறிந்து உங்கள் வலைத்தளத்தை உடைப்பதைத் தவிர்க்க உதவுகிறது. உலாவி இன்னும் ஆதாரங்களை ஏற்ற முயற்சிக்கும் ஆனால் டெவலப்பர் கன்சோலில் ஒரு எச்சரிக்கையை வழங்கும் மற்றும் உங்கள் குறிப்பிட்ட இறுதிப்புள்ளிக்கு ஒரு அறிக்கையை அனுப்பும். அறிக்கையில் தடுக்கப்பட்ட ஆதாரத்தின் மூலம் மற்றும் மீறும் வழிமுறை போன்ற மீறல் பற்றிய விவரங்கள் இருக்கும்.
• அமலாக்க முறை (Enforce Mode): நீங்கள் Content-Security-Policy ஹெடரைப் பயன்படுத்தும்போது, உலாவி தீவிரமாக கொள்கையை அமல்படுத்துகிறது. ஒரு ஆதாரம் கொள்கையை மீறினால் (எ.கா., ஒரு ஸ்கிரிப்ட் அங்கீகரிக்கப்படாத மூலத்திலிருந்து ஏற்றப்பட்டால்), உலாவி அதைத் தடுக்கும். இதுவே CSP-ஐப் பாதுகாப்பிற்காகப் பயன்படுத்துவதற்கான நோக்கம் மற்றும் மிகவும் பயனுள்ள வழியாகும்.

ஜாவாஸ்கிரிப்ட் இயக்கம் மற்றும் CSP

CSP மற்றும் ஜாவாஸ்கிரிப்ட் இயக்கத்திற்கு இடையிலான தொடர்பு மிகவும் முக்கியமானது. CSP-யின் script-src வழிமுறை ஜாவாஸ்கிரிப்ட் எவ்வாறு கையாளப்படுகிறது என்பதற்கான முதன்மைக் கட்டுப்பாட்டுப் புள்ளியாகும். ஒரு உலாவி ஜாவாஸ்கிரிப்டை எதிர்கொள்ளும்போது, அது CSP ஹெடரின் script-src வழிமுறையைச் சரிபார்க்கிறது. ஜாவாஸ்கிரிப்ட் மூலம் அனுமதிக்கப்பட்டால், உலாவி அதைச் செயல்படுத்துகிறது. மூலம் அனுமதிக்கப்படவில்லை என்றால், ஸ்கிரிப்ட் தடுக்கப்பட்டு, அறிக்கைசெய்தல் இயக்கப்பட்டிருந்தால் மீறல் அறிக்கை உருவாக்கப்படும்.

ஜாவாஸ்கிரிப்ட் இயக்கத்தின் மீதான தாக்கம்

CSP, நீங்கள் ஜாவாஸ்கிரிப்ட் குறியீட்டை எழுதும் மற்றும் கட்டமைக்கும் விதத்தில் குறிப்பிடத்தக்க தாக்கத்தை ஏற்படுத்துகிறது. குறிப்பாக, இது பின்வருவனவற்றைப் பாதிக்கலாம்:

• இன்லைன் ஜாவாஸ்கிரிப்ட் (Inline JavaScript): உங்கள் HTML-இல் <script> குறிச்சொற்களுக்குள் நேரடியாக எழுதப்பட்ட ஜாவாஸ்கிரிப்ட் பெரும்பாலும் கட்டுப்படுத்தப்படுகிறது. script-src-இல் 'unsafe-inline'-ஐப் பயன்படுத்துவது இந்தக் கட்டுப்பாட்டைத் தளர்த்துகிறது ஆனால் இது கடுமையாக ஊக்கப்படுத்தப்படுவதில்லை. ஒரு சிறந்த அணுகுமுறை இன்லைன் ஜாவாஸ்கிரிப்டை வெளிப்புற ஜாவாஸ்கிரிப்ட் கோப்புகளுக்கு நகர்த்துவதாகும்.
• eval() மற்றும் பிற டைனமிக் குறியீடு இயக்கம்: eval(), ஒரு சர வாதத்துடன் (string argument) கூடிய setTimeout() மற்றும் new Function() போன்ற செயல்பாடுகள் பெரும்பாலும் கட்டுப்படுத்தப்படுகின்றன. 'unsafe-eval' மூல வெளிப்பாடு உள்ளது ஆனால் தவிர்க்கப்பட வேண்டும். அதற்கு பதிலாக, இந்த நடைமுறைகளைத் தவிர்க்க உங்கள் குறியீட்டை மாற்றி அமைக்கவும் அல்லது மாற்று முறைகளைப் பயன்படுத்தவும்.
• வெளிப்புற ஜாவாஸ்கிரிப்ட் கோப்புகள்: எந்த வெளிப்புற ஜாவாஸ்கிரிப்ட் கோப்புகளை ஏற்றலாம் என்பதை CSP கட்டுப்படுத்துகிறது. தீங்கிழைக்கும் ஸ்கிரிப்ட்களை உட்செலுத்த முயற்சிக்கும் XSS தாக்குதல்களுக்கு எதிராக இது ஒரு முக்கியப் பாதுகாப்பாகும்.
• நிகழ்வு கையாளர்கள் (Event Handlers): இன்லைன் நிகழ்வு கையாளர்கள் (எ.கா., <button onclick="myFunction()"></button>) 'unsafe-inline' அனுமதிக்கப்படாவிட்டால் பெரும்பாலும் தடுக்கப்படும். ஜாவாஸ்கிரிப்ட் கோப்புகளில் நிகழ்வு கேட்பான்களை (event listeners) இணைப்பது சிறந்த நடைமுறையாகும்.

CSP உடன் ஜாவாஸ்கிரிப்ட் இயக்கத்திற்கான சிறந்த நடைமுறைகள்

CSP-ஐ திறம்பட பயன்படுத்தவும், உங்கள் ஜாவாஸ்கிரிப்ட் இயக்கத்தைப் பாதுகாக்கவும், இந்த சிறந்த நடைமுறைகளைக் கருத்தில் கொள்ளுங்கள்:

• இன்லைன் ஜாவாஸ்கிரிப்டைத் தவிர்க்கவும்: அனைத்து ஜாவாஸ்கிரிப்ட் குறியீட்டையும் வெளிப்புற .js கோப்புகளுக்கு நகர்த்தவும். நீங்கள் செய்யக்கூடிய மிகவும் தாக்கத்தை ஏற்படுத்தும் ஒரே விஷயம் இதுதான்.
• eval() மற்றும் பிற டைனமிக் குறியீடு இயக்கத்தைத் தவிர்க்கவும்: eval(), சர வாதங்களுடன் கூடிய setTimeout(), மற்றும் new Function() ஆகியவற்றைப் பயன்படுத்துவதைத் தவிர்க்க உங்கள் குறியீட்டை மாற்றி அமைக்கவும். இவை பொதுவான தாக்குதல் திசையன்கள் (attack vectors).
• இன்லைன் ஸ்கிரிப்ட்களுக்கு நான்ஸ்கள் அல்லது ஹாஷ்களைப் பயன்படுத்தவும் (தேவைப்பட்டால்): நீங்கள் கட்டாயமாக இன்லைன் ஸ்கிரிப்ட்களைப் பயன்படுத்த வேண்டியிருந்தால் (எ.கா., மரபுக் குறியீட்டிற்காக), ஒரு நான்ஸ் (ஒரு தனித்துவமான, தோராயமாக உருவாக்கப்பட்ட சரம்) அல்லது ஒரு ஹாஷ் (ஸ்கிரிப்ட்டின் உள்ளடக்கத்தின் ஒரு கிரிப்டோகிராஃபிக் டைஜஸ்ட்) பயன்படுத்துவதைக் கருத்தில் கொள்ளுங்கள். நீங்கள் நான்ஸ் அல்லது ஹாஷை உங்கள் CSP ஹெடர் மற்றும் ஸ்கிரிப்ட் குறிச்சொல்லில் சேர்க்கிறீர்கள். இது குறிப்பிட்ட நிபந்தனைகளுடன் பொருந்தினால் ஸ்கிரிப்டை இயக்க உலாவியை அனுமதிக்கிறது. இது 'unsafe-inline'-ஐ விட பாதுகாப்பான மாற்று, ஆனால் இது சிக்கலான தன்மையைச் சேர்க்கிறது.
• கடுமையான CSP கொள்கையைப் பயன்படுத்தவும்: ஒரு கட்டுப்படுத்தப்பட்ட CSP கொள்கையுடன் தொடங்கவும் (எ.கா., script-src 'self';) மற்றும் தேவைக்கேற்ப படிப்படியாக அதைத் தளர்த்தவும். கொள்கையை அமல்படுத்துவதற்கு முன்பு Content-Security-Policy-Report-Only ஹெடரைப் பயன்படுத்தி மீறல்களைக் கண்காணிக்கவும்.
• உங்கள் CSP கொள்கையைத் தவறாமல் மதிப்பாய்வு செய்து புதுப்பிக்கவும்: உங்கள் இணையப் பயன்பாடு காலப்போக்கில் உருவாகும், உங்கள் CSP கொள்கையும் அவ்வாறே. உங்கள் கொள்கை போதுமான பாதுகாப்பைத் தொடர்ந்து வழங்குவதை உறுதிசெய்ய அதைத் தவறாமல் மதிப்பாய்வு செய்து புதுப்பிக்கவும். இது நீங்கள் புதிய அம்சங்களைச் சேர்க்கும்போது, மூன்றாம் தரப்பு நூலகங்களை ஒருங்கிணைக்கும்போது அல்லது உங்கள் CDN உள்ளமைவை மாற்றும்போது அடங்கும்.
• ஒரு இணையப் பயன்பாட்டு ஃபயர்வாலைப் (WAF) பயன்படுத்தவும்: ஒரு WAF உங்கள் CSP-ஐத் தவிர்க்கக்கூடிய தாக்குதல்களைக் கண்டறிந்து தணிக்க உதவும். ஒரு WAF ஒரு கூடுதல் பாதுகாப்பு அடுக்காக செயல்படுகிறது.
• வடிவமைப்பில் பாதுகாப்பைக் கருத்தில் கொள்ளுங்கள்: உங்கள் திட்டத்தின் தொடக்கத்திலிருந்தே பாதுகாப்புக் கொள்கைகளைச் செயல்படுத்தவும், இதில் பாதுகாப்பான குறியீட்டு நடைமுறைகள் மற்றும் வழக்கமான பாதுகாப்புத் தணிக்கைகள் அடங்கும்.

செயல்பாட்டில் CSP: நிஜ உலக எடுத்துக்காட்டுகள்

சில நிஜ உலகச் சூழ்நிலைகளையும், பாதிப்புகளைத் தணிக்க CSP எவ்வாறு உதவுகிறது என்பதையும் பார்ப்போம்:

காட்சி 1: வெளிப்புற மூலங்களிலிருந்து XSS தாக்குதல்களைத் தடுத்தல்

ஒரு வலைத்தளம் பயனர்களைக் கருத்துக்களைச் சமர்ப்பிக்க அனுமதிக்கிறது. ஒரு தாக்குபவர் ஒரு கருத்தில் தீங்கிழைக்கும் ஜாவாஸ்கிரிப்டை உட்செலுத்துகிறார். CSP இல்லாமல், உலாவி உட்செலுத்தப்பட்ட ஸ்கிரிப்டை இயக்கும். ஒரே மூலத்திலிருந்து மட்டுமே ஸ்கிரிப்ட்களை அனுமதிக்கும் ஒரு CSP உடன் (script-src 'self';), உலாவி தீங்கிழைக்கும் ஸ்கிரிப்டைத் தடுக்கும், ஏனெனில் அது வேறு மூலத்திலிருந்து வருகிறது.

காட்சி 2: நம்பகமான CDN சமரசத்திலிருந்து XSS தாக்குதல்களைத் தடுத்தல்

ஒரு வலைத்தளம் அதன் ஜாவாஸ்கிரிப்ட் கோப்புகளை வழங்க ஒரு CDN (உள்ளடக்க விநியோக நெட்வொர்க்) ஐப் பயன்படுத்துகிறது. ஒரு தாக்குபவர் CDN-ஐ சமரசம் செய்து, முறையான ஜாவாஸ்கிரிப்ட் கோப்புகளைத் தீங்கிழைக்கும் கோப்புகளுடன் மாற்றுகிறார். CDN-இன் டொமைனைக் குறிப்பிடும் ஒரு CSP உடன் (எ.கா., script-src 'self' cdn.example.com;), வலைத்தளம் பாதுகாக்கப்படுகிறது, ஏனெனில் அது குறிப்பிட்ட CDN டொமைனில் ஹோஸ்ட் செய்யப்பட்ட கோப்புகளுக்கு மட்டுமே இயக்கத்தைக் கட்டுப்படுத்துகிறது. சமரசம் செய்யப்பட்ட CDN வேறு டொமைனைப் பயன்படுத்தினால், உலாவி தீங்கிழைக்கும் ஸ்கிரிப்ட்களைத் தடுக்கும்.

காட்சி 3: மூன்றாம் தரப்பு நூலகங்களுடன் ஆபத்தைக் குறைத்தல்

ஒரு வலைத்தளம் ஒரு மூன்றாம் தரப்பு ஜாவாஸ்கிரிப்ட் நூலகத்தை ஒருங்கிணைக்கிறது. அந்த நூலகம் சமரசம் செய்யப்பட்டால், ஒரு தாக்குபவர் தீங்கிழைக்கும் குறியீட்டை உட்செலுத்த முடியும். ஒரு கடுமையான CSP-ஐப் பயன்படுத்துவதன் மூலம், டெவலப்பர்கள் தங்கள் CSP கொள்கையில் மூல வழிமுறைகளைக் குறிப்பிடுவதன் மூலம் மூன்றாம் தரப்பு நூலகத்திலிருந்து ஜாவாஸ்கிரிப்ட் இயக்கத்தைக் கட்டுப்படுத்தலாம். எடுத்துக்காட்டாக, மூன்றாம் தரப்பு நூலகத்தின் குறிப்பிட்ட மூலங்களைக் குறிப்பிடுவதன் மூலம், வலைத்தளம் சாத்தியமான சுரண்டல்களிலிருந்து தன்னைப் பாதுகாத்துக் கொள்ள முடியும். இது திறந்த மூல நூலகங்களுக்கு மிகவும் முக்கியமானது, அவை பெரும்பாலும் உலகெங்கிலும் உள்ள பல திட்டங்களில் பயன்படுத்தப்படுகின்றன.

உலகளாவிய எடுத்துக்காட்டுகள்:

உலகின் பல்வேறு டிஜிட்டல் நிலப்பரப்பைக் கருத்தில் கொள்ளுங்கள். இந்தியா போன்ற அதிக மக்கள்தொகை மற்றும் பரவலான இணைய அணுகல் கொண்ட நாடுகள், அதிகரித்து வரும் இணைக்கப்பட்ட சாதனங்களின் காரணமாக தனித்துவமான பாதுகாப்பு சவால்களை அடிக்கடி எதிர்கொள்கின்றன. இதேபோல், ஐரோப்பா போன்ற கடுமையான GDPR (பொது தரவு பாதுகாப்பு ஒழுங்குமுறை) இணக்கத்துடன் உள்ள பகுதிகளில், பாதுகாப்பான இணையப் பயன்பாட்டு மேம்பாடு மிக முக்கியமானது. ஒரு CSP-ஐப் பயன்படுத்துதல் மற்றும் பாதுகாப்பான ஜாவாஸ்கிரிப்ட் நடைமுறைகளைப் பின்பற்றுதல் ஆகியவை இந்த பிராந்தியங்களில் உள்ள நிறுவனங்கள் தங்கள் பாதுகாப்பு இணக்கக் கடமைகளை நிறைவேற்ற உதவும். பிரேசில் போன்ற நாடுகளில், மின்-வணிகம் வேகமாக வளர்ந்து வருகிறது, அங்கு வணிகம் மற்றும் நுகர்வோர் இருவரையும் பாதுகாக்க CSP உடன் ஆன்லைன் பரிவர்த்தனைகளைப் பாதுகாப்பது மிகவும் முக்கியமானது. இது நைஜீரியா, இந்தோனேசியா மற்றும் ஒவ்வொரு நாட்டிற்கும் பொருந்தும்.

மேம்பட்ட CSP நுட்பங்கள்

அடிப்படைகளுக்கு அப்பால், பல மேம்பட்ட நுட்பங்கள் உங்கள் CSP செயலாக்கத்தை மேம்படுத்தலாம்:

• நான்ஸ்-அடிப்படையிலான CSP (Nonce-Based CSP): இன்லைன் ஸ்கிரிப்ட்களுடன் பணிபுரியும்போது, நான்ஸ்கள் 'unsafe-inline'-க்கு ஒரு பாதுகாப்பான மாற்றை வழங்குகின்றன. ஒரு நான்ஸ் என்பது ஒரு தனித்துவமான, தோராயமாக உருவாக்கப்பட்ட சரம் ஆகும், அதை நீங்கள் ஒவ்வொரு கோரிக்கைக்கும் உருவாக்கி உங்கள் CSP ஹெடர் (script-src 'nonce-YOUR_NONCE';) மற்றும் <script> குறிச்சொல் (<script nonce="YOUR_NONCE">) இரண்டிலும் சேர்க்கிறீர்கள். இது பொருந்தும் நான்ஸ் உள்ள ஸ்கிரிப்ட்களை மட்டுமே இயக்க உலாவிக்குச் சொல்கிறது. இந்த அணுகுமுறை தாக்குபவர்கள் தீங்கிழைக்கும் குறியீட்டை உட்செலுத்துவதற்கான சாத்தியக்கூறுகளை பெரிதும் குறைக்கிறது.
• ஹாஷ்-அடிப்படையிலான CSP (SRI - Subresource Integrity): இது ஸ்கிரிப்ட்டின் உள்ளடக்கத்தின் கிரிப்டோகிராஃபிக் ஹாஷைக் குறிப்பிட உங்களை அனுமதிக்கிறது (எ.கா., SHA-256 வழிமுறையைப் பயன்படுத்தி). உலாவியானது ஸ்கிரிப்டை அதன் ஹாஷ் CSP ஹெடரில் உள்ளவற்றுடன் பொருந்தினால் மட்டுமே இயக்கும். இது இன்லைன் ஸ்கிரிப்ட்களை (குறைவான பொதுவானது) அல்லது வெளிப்புற ஸ்கிரிப்ட்களைக் கையாளுவதற்கான மற்றொரு வழியாகும். துணை ஆதார ஒருமைப்பாடு (Subresource Integrity) பொதுவாக CSS மற்றும் ஜாவாஸ்கிரிப்ட் நூலகங்கள் போன்ற வெளிப்புற ஆதாரங்களுக்குப் பயன்படுத்தப்படுகிறது, மேலும் இது சமரசம் செய்யப்பட்ட CDN தீங்கிழைக்கும் குறியீட்டை வழங்குவதற்கான ஆபத்திலிருந்து பாதுகாக்கிறது.
• CSP அறிக்கையிடல் API (CSP Reporting API): CSP அறிக்கையிடல் API, CSP மீறல்கள் பற்றிய விரிவான தகவல்களைச் சேகரிக்க உங்களை அனுமதிக்கிறது, இதில் மீறும் வழிமுறை, தடுக்கப்பட்ட ஆதாரத்தின் மூலம் மற்றும் மீறல் நிகழ்ந்த பக்கத்தின் URL ஆகியவை அடங்கும். இந்தத் தகவல் உங்கள் CSP கொள்கையைக் கண்காணித்தல், சரிசெய்தல் மற்றும் மேம்படுத்துவதற்கு அவசியமானது. இந்த அறிக்கைகளைச் செயலாக்க உங்களுக்கு உதவ பல கருவிகள் மற்றும் சேவைகள் உள்ளன.
• CSP பில்டர் கருவிகள் (CSP Builder Tools): CSP மதிப்பீட்டாளர் (CSP Evaluator) மற்றும் ஆன்லைன் CSP பில்டர்கள் போன்ற கருவிகள் CSP கொள்கைகளை உருவாக்கவும் சோதிக்கவும் உங்களுக்கு உதவும். இவை உங்கள் கொள்கைகளை உருவாக்கும் மற்றும் நிர்வகிக்கும் செயல்முறையை நெறிப்படுத்தலாம்.

ஜாவாஸ்கிரிப்ட் இயக்கம் மற்றும் பாதுகாப்பு சிறந்த நடைமுறைகள்

CSP-க்கு கூடுதலாக, ஜாவாஸ்கிரிப்ட் தொடர்பான பின்வரும் பொதுவான பாதுகாப்பு சிறந்த நடைமுறைகளைக் கருத்தில் கொள்ளுங்கள்:

• உள்ளீட்டு சரிபார்ப்பு மற்றும் தூய்மைப்படுத்தல் (Input Validation and Sanitization): XSS மற்றும் பிற உட்செலுத்துதல் தாக்குதல்களைத் தடுக்க பயனர் உள்ளீட்டை எப்போதும் சேவையகப் பக்கத்திலும் மற்றும் கிளையன்ட் பக்கத்திலும் சரிபார்த்து தூய்மைப்படுத்தவும். ஒரு ஸ்கிரிப்டைத் தொடங்கப் பயன்படுத்தப்படும் போன்ற அபாயகரமான எழுத்துக்களை அகற்ற அல்லது குறியாக்கம் செய்ய தரவைத் தூய்மைப்படுத்தவும்.
• பாதுகாப்பான குறியீட்டு நடைமுறைகள் (Secure Coding Practices): SQL ஊசிவதைத் தடுக்க அளவுரு வினவல்களைப் பயன்படுத்துதல் போன்ற பாதுகாப்பான குறியீட்டுக் கொள்கைகளைப் பின்பற்றவும், மற்றும் முக்கியமான தரவை கிளையன்ட் பக்கக் குறியீட்டில் சேமிப்பதைத் தவிர்க்கவும். குறியீடு முக்கியமான தரவைக் கையாளும் விதம் குறித்து கவனமாக இருங்கள்.
• வழக்கமான பாதுகாப்பு தணிக்கைகள் (Regular Security Audits): உங்கள் இணையப் பயன்பாடுகளில் உள்ள பாதிப்புகளைக் கண்டறிந்து சரிசெய்ய ஊடுருவல் சோதனை உட்பட வழக்கமான பாதுகாப்புத் தணிக்கைகளை நடத்தவும். ஊடுருவல் சோதனை என்றும் அழைக்கப்படும் ஒரு பாதுகாப்புத் தணிக்கை, ஒரு கணினியில் உருவகப்படுத்தப்பட்ட தாக்குதலாகும். தாக்குபவர்கள் பயன்படுத்தக்கூடிய பாதிப்புகளைக் கண்டறிய இந்த தணிக்கைகள் அவசியம்.
• சார்புகளைப் (Dependencies) புதுப்பித்த நிலையில் வைத்திருங்கள்: அறியப்பட்ட பாதிப்புகளைச் சரிசெய்ய உங்கள் ஜாவாஸ்கிரிப்ட் நூலகங்கள் மற்றும் கட்டமைப்புகளை சமீபத்திய பதிப்புகளுக்குத் தவறாமல் புதுப்பிக்கவும். பாதிப்புக்குள்ளான நூலகங்கள் பாதுகாப்புச் சிக்கல்களின் ஒரு முக்கிய ஆதாரமாகும். புதுப்பிப்புகளை தானியக்கமாக்க சார்பு மேலாண்மைக் கருவிகளைப் பயன்படுத்தவும்.
• HTTP Strict Transport Security (HSTS) செயல்படுத்துங்கள்: உங்கள் வலைப் பயன்பாடு HTTPS-ஐப் பயன்படுத்துவதை உறுதிசெய்து, உங்கள் தளத்துடன் எப்போதும் HTTPS வழியாக இணைக்க உலாவிகளை கட்டாயப்படுத்த HSTS-ஐச் செயல்படுத்தவும். இது நடுவில்-மனிதன் (man-in-the-middle) தாக்குதல்களைத் தடுக்க உதவுகிறது.
• ஒரு இணையப் பயன்பாட்டு ஃபயர்வாலைப் (WAF) பயன்படுத்தவும்: ஒரு WAF தீங்கிழைக்கும் போக்குவரத்தை வடிகட்டுவதன் மூலமும், பிற பாதுகாப்பு நடவடிக்கைகளைத் தவிர்க்கும் தாக்குதல்களைத் தடுப்பதன் மூலமும் ஒரு கூடுதல் பாதுகாப்பு அடுக்கைச் சேர்க்கிறது. ஒரு WAF, SQL ஊசி அல்லது XSS முயற்சிகள் போன்ற தீங்கிழைக்கும் கோரிக்கைகளைக் கண்டறிந்து தணிக்க முடியும்.
• உங்கள் மேம்பாட்டுக் குழுவுக்குக் கல்வி கற்பிக்கவும்: உங்கள் மேம்பாட்டுக் குழு CSP, XSS தடுப்பு மற்றும் பாதுகாப்பான குறியீட்டுக் கொள்கைகள் உள்ளிட்ட இணையப் பாதுகாப்பு சிறந்த நடைமுறைகளைப் புரிந்துகொள்வதை உறுதிசெய்க. உங்கள் குழுவைப் பயிற்றுவிப்பது பாதுகாப்பில் ஒரு முக்கியமான முதலீடாகும்.
• பாதுகாப்பு அச்சுறுத்தல்களைக் கண்காணிக்கவும்: பாதுகாப்புச் சம்பவங்களைக் கண்டறிந்து விரைவாகப் பதிலளிக்க கண்காணிப்பு மற்றும் எச்சரிக்கை அமைப்புகளை அமைக்கவும். பயனுள்ள கண்காணிப்பு சாத்தியமான பாதுகாப்பு அச்சுறுத்தல்களைக் கண்டறிந்து பதிலளிக்க உதவுகிறது.

அனைத்தையும் ஒன்றிணைத்தல்: ஒரு நடைமுறை வழிகாட்டி

இந்தக் கருத்துக்களை எவ்வாறு பயன்படுத்துவது என்பதை விளக்க ஒரு எளிமைப்படுத்தப்பட்ட எடுத்துக்காட்டைக் காண்போம்.

காட்சி: படிவச் சமர்ப்பிப்புகளைக் கையாள ஜாவாஸ்கிரிப்டைப் பயன்படுத்தும் ஒரு எளிய தொடர்பு படிவத்துடன் கூடிய வலைத்தளம்.

1. படி 1: பயன்பாட்டின் சார்புகளை பகுப்பாய்வு செய்யுங்கள்: உங்கள் பயன்பாடு பயன்படுத்தும் அனைத்து ஜாவாஸ்கிரிப்ட் கோப்புகள், வெளிப்புற ஆதாரங்கள் (CDNகள் போன்றவை) மற்றும் இன்லைன் ஸ்கிரிப்ட்களைத் தீர்மானிக்கவும். சரியான செயல்பாட்டிற்குத் தேவையான அனைத்து ஸ்கிரிப்ட்களையும் அடையாளம் காணவும்.
2. படி 2: ஜாவாஸ்கிரிப்டை வெளிப்புற கோப்புகளுக்கு நகர்த்தவும்: எந்தவொரு இன்லைன் ஜாவாஸ்கிரிப்டையும் தனி .js கோப்புகளுக்கு நகர்த்தவும். இது அடிப்படையானது.
3. படி 3: ஒரு அடிப்படை CSP ஹெடரை வரையறுக்கவும்: ஒரு கட்டுப்படுத்தப்பட்ட CSP உடன் தொடங்கவும். எடுத்துக்காட்டாக, நீங்கள் அதே மூலத்தைப் பயன்படுத்துகிறீர்கள் என்றால், பின்வருவனவற்றுடன் தொடங்கலாம்:

               Content-Security-Policy: default-src 'self'; script-src 'self'; style-src 'self'; img-src 'self' data:;
               
   
                 
                   Copy
                 
               
             

4. படி 4: CSP-ஐ அறிக்கை-மட்டும் பயன்முறையில் சோதிக்கவும்: சாத்தியமான முரண்பாடுகளை அடையாளம் காண ஆரம்பத்தில் Content-Security-Policy-Report-Only ஹெடரைச் செயல்படுத்தவும். அறிக்கைகளைச் சேகரித்து அவற்றை பகுப்பாய்வு செய்யவும்.
5. படி 5: எந்த மீறல்களையும் சரிசெய்யவும்: அறிக்கைகளின் அடிப்படையில், தேவையான ஆதாரங்களை அனுமதிக்க CSP ஹெடரை சரிசெய்யவும். இது குறிப்பிட்ட CDN டொமைன்களை வெள்ளைப்பட்டியலில் சேர்ப்பது அல்லது, முற்றிலும் அவசியமானால், இன்லைன் ஸ்கிரிப்ட்களுக்கு நான்ஸ்கள் அல்லது ஹாஷ்களைப் பயன்படுத்துவது ஆகியவை அடங்கும் (இருப்பினும் சிறந்த நடைமுறைகள் பின்பற்றப்பட்டால் இது அரிதாகவே தேவைப்படுகிறது).
6. படி 6: வரிசைப்படுத்தி கண்காணிக்கவும்: CSP சரியாக செயல்படுகிறது என்று நீங்கள் உறுதியாக நம்பியவுடன், Content-Security-Policy ஹெடருக்கு மாறவும். மீறல்களுக்காக உங்கள் பயன்பாட்டைத் தொடர்ந்து கண்காணித்து, தேவைக்கேற்ப உங்கள் CSP கொள்கையை சரிசெய்யவும்.
7. படி 7: உள்ளீட்டு சரிபார்ப்பு மற்றும் தூய்மைப்படுத்தலை செயல்படுத்தவும்: பாதிப்புகளைத் தடுக்க சேவையகப் பக்க மற்றும் கிளையன்ட் பக்கக் குறியீடு பயனர் உள்ளீட்டைச் சரிபார்த்து தூய்மைப்படுத்துவதை உறுதிசெய்க. XSS தாக்குதல்களிலிருந்து பாதுகாக்க இது மிகவும் முக்கியமானது.
8. படி 8: வழக்கமான தணிக்கைகள் மற்றும் புதுப்பிப்புகள்: புதிய அம்சங்கள், ஒருங்கிணைப்புகள் மற்றும் பயன்பாட்டின் கட்டமைப்பில் அல்லது அது சார்ந்திருக்கும் சார்புகளில் ஏதேனும் மாற்றங்களைக் கருத்தில் கொண்டு, உங்கள் CSP கொள்கையைத் தவறாமல் மதிப்பாய்வு செய்து புதுப்பிக்கவும். எதிர்பாராத சிக்கல்களைப் பிடிக்க வழக்கமான பாதுகாப்புத் தணிக்கைகளைச் செயல்படுத்தவும்.

முடிவுரை

உள்ளடக்கப் பாதுகாப்பு கொள்கை (CSP) என்பது நவீன இணையப் பாதுகாப்பின் ஒரு முக்கிய அங்கமாகும், இது ஜாவாஸ்கிரிப்ட் செயலாக்க நடைமுறைகளுடன் இணைந்து உங்கள் வலைப் பயன்பாடுகளைப் பரந்த அளவிலான அச்சுறுத்தல்களிலிருந்து பாதுகாக்க உதவுகிறது. CSP வழிமுறைகள் ஜாவாஸ்கிரிப்ட் செயலாக்கத்தை எவ்வாறு கட்டுப்படுத்துகின்றன என்பதைப் புரிந்துகொள்வதன் மூலமும், பாதுகாப்பு சிறந்த நடைமுறைகளைக் கடைப்பிடிப்பதன் மூலமும், XSS தாக்குதல்களின் அபாயத்தை நீங்கள் கணிசமாகக் குறைத்து, உங்கள் வலைப் பயன்பாடுகளின் ஒட்டுமொத்தப் பாதுகாப்பை மேம்படுத்தலாம். பாதுகாப்பிற்கு ஒரு அடுக்கு அணுகுமுறையை பின்பற்ற நினைவில் கொள்ளுங்கள், CSP-ஐ உள்ளீட்டு சரிபார்ப்பு, இணையப் பயன்பாட்டு ஃபயர்வால்கள் (WAFs) மற்றும் வழக்கமான பாதுகாப்புத் தணிக்கைகள் போன்ற பிற பாதுகாப்பு நடவடிக்கைகளுடன் ஒருங்கிணைக்கவும். இந்தக் கொள்கைகளைத் தொடர்ந்து பயன்படுத்துவதன் மூலம், உங்கள் பயனர்களுக்கு அவர்களின் இருப்பிடம் அல்லது அவர்கள் பயன்படுத்தும் தொழில்நுட்பத்தைப் பொருட்படுத்தாமல் பாதுகாப்பான மற்றும் பாதுகாப்பான இணைய அனுபவத்தை நீங்கள் உருவாக்க முடியும். உங்கள் வலைப் பயன்பாடுகளைப் பாதுகாப்பது உங்கள் தரவைப் பாதுகாப்பது மட்டுமல்லாமல், உங்கள் உலகளாவிய பார்வையாளர்களுடன் நம்பிக்கையை உருவாக்குகிறது, மேலும் நம்பகத்தன்மை மற்றும் பாதுகாப்பின் நற்பெயரைக் கட்டமைக்கிறது.