Joomla 4 fundamentalnie zwiększa bezpieczeństwo. Kontrola nagłówków
TRANSKRYPCJA WERSJA DO PRZECZYTANIA.
Część z tej strony Marcin Równicki z Joomlaguru.pl Witam Cię już w kolejnym odcinku Joomla 4 nowości, a tym razem przyjrzymy się bezpieczeństwu Joomla. Zostało ono zwiększone o tyle, że do Joomla 4 wszedł do core dodatek który zajmuje się nagłówki, czyli mowa tutaj o nagłówku typu np. hst czy też metodologii CSP które oczywiście wspierają wszystkie modernistycznej przeglądarki. Czyli mowa tutaj o najnowszych wersjach tak jak Opera Chrome Firefox i nawet najnowszy Microsoft Edge który opiera się na Chrome to tak tylko w roli dodatkowej informacji oczywiście. Na demo przede wszystkim dowiesz się jak znaleźć ten dodatek jak go włączyć i zrobię takie krótkie omówienie. Co funkcja mniej więcej oznacza. Drugą rzeczą, jaką zobaczysz będzie to sposób logowania się do Joomla bez hasła jest taka teraz możliwość, że można się zalogować do Joomla bez hasła. Jednak wymaga to trochę dodatkowej konfiguracji oraz niezbędne są do tego peryferia.
Zanim przejdziemy do demo spójrz na swój przycisk subskrypcji. Jeśli świeci na czerwono to koniecznie to zmień, aby się świecił na szaro.
Zapraszam Cię teraz do lekcji demo.
A więc witam się z panelu administracyjnego naszej Joomla 4. Więc przejdźmy na początek do nagłówków i zobaczmy co ten dodatek potrafi. A więc idziemy do systemu. Następnie Dodatki. Wpisujemy "nagłówki" i oto tutaj mamy ten dodatek system nagłówki. Przejdźmy do niego wiedźmy, a więc jesteśmy sobie w nagłówkach i Porozmawiajmy chwilkę o nagłówkac jak te nagłówki działają. Ja tu postaram się coś. Zrobić. OK. I. Załóżmy że. Dobrze. Dobra P to przeglądarka S to jest serwer. I teraz jak wiemy dochodzi do komunikacji w jedną stronę, jak i w drugą stronę. Teraz mamy te nagłówki, które są tak zwanymi instrukcjami, które mówią co ma robić serwer co ma robić przeglądarka co ma pobierać czego ma nie pobierać np. przykład i czasami jest tak, że gdzieś pośrodku dochodzi do próby ataku, czyli do próby podmiany. Tego na główka, żeby na przykład gdzieś tam odesłać sobie inny nagłówek do serwera coś przechwycić. I tak dalej i tak dalej. Dlatego też powstał taki system, który ma między innymi zabezpieczać nas użytkowników przed takimi autoryzowanym dostępem do nagłówków czy np. atakami między serwerem, a przeglądarką przed atakami takimi jak gdzieś ktoś dostaje się na serwer próbuje krzyknąć nam kawałek JavaScript, który gdzieś tam starać przekierować, jakieś iframe. To właśnie przed tym wszystkim może nas chronić ten dodatkowy dodatek, który wszedł w core Joomla 4.
Na zakładce HSTS. To tak naprawdę nic innego jak wymusza użycie bezpiecznego połączenia po protokole HTTPS. Tutaj widzimy też jest błąd tłumaczeniowy, ale nie przejmujcie się tym. Będzie to poprawione. Po włączeniu tego. Mamy tutaj kilka takich opcji do zdefiniowania to jest ważność. Tak. Ważność tego ustawienia, czyli jak długo przeglądarka będzie pamiętała, że ma być komunikacja tylko po protokole HTTPS. Tutaj mamy też zabezpieczenie dla subdomen i tutaj jest taka ważna opcja preload. Czyli ona może właśnie zapobiegać tym atakom między przeglądarką a serwerem. Tylko że po ustawieniu jej musimy mieć pewność, że nasz certyfikat będziemy używać bardzo długo. To jest raz a dwa, że wszystkie połączenia muszą być po właśnie protokole HTTPS. Także jak ktoś nie jest za bardzo znany nie dotykamy tej opcji i tyle.
Przejdźmy na CSP, czyli Content Security Policy. To jest taka dodatkowa warstwa zabezpieczeń, która pomaga wykrywać i łagodzić niektóre typy ataków, czyli np. Cross Site Scripting, o którym mówiłem trochę wcześniej, czyli staramy się zabezpieczyć tak naszą stronę, aby nie dochodziło do różnych złośliwych zniknięcie złego oprogramowania złośliwego. Po włączeniu. Możemy sobie zabezpieczyć tylko strony frontową możemy sobie zabezpieczyć zaplecze albo zastosować do obu. No i tutaj mamy kilka takich bardziej zaawansowanych rzeczy, na których niestety trzeba się już bardziej znać żeby to zastosować na swojej stronie i nie wyrządzić sobie więcej więcej krzywdy niż pożytku. Bo jak włączymy sobie za bardzo restrykcyjne ustawienia to będziemy mieć potem problem. Jeśli będziemy chcieli osadzić post z Facebooka z YouTube'a czy na przykład z zewnętrznych skryptów typu np. do pobierania i zbierania maili itd itd Także trzeba się trochę wczytać, żeby to wszystko poznać i poznać każdą opcję która. Dla nas jest właściwa a którą na przykład zostawimy na ustawieniach podstawowych, aby-aby nam się lepiej użytkowało i naszym użytkownikom użytkowało stronę. Jeśli mowa o nagłówku to można sobie zrobić test podam też tę stronę w podpisie, jeśli mowa o podpisie pod tym wideo to możecie sobie zobaczyć stronę Joomlaguru.pl.
Ona ma raport A plus jeszcze nie migrowałem do wersji 4 jest to wszystko na wersji 3 ustawione, ale poświęciłem kiedyś trochę czasu i jak widzisz. Datę masz z dzisiaj i ten test wykonany także. To też jest przydatne. Możemy sobie nawet zbadać w tym momencie jak wygląda status podstawowy. Podstawowe ustawienia, które ma włączona Joomla Joomla 4 oczywiście. Na pewno. Szału nie ma, ale jest to dużo lepiej, jeśli byśmy np. wzięli przeskanowali Joomla 3 samą taką gołą. Nie mam akurat takiej instalacji gdzie mógłbym to przetestować, ale byłoby że wszystko jest na czerwono nic by tam nie było żadnych zabezpieczeń nie ma. Ok. Jeśli chodzi o nagłówki myślę, że to taki wstęp jak będziecie chcieli więcej sobie poczytać to obszerny artykuł na Joomlaguru.pl przypominam, że będzie w podpisie może już mieliście okazję go też nawet przeczytać i zapoznać się z nim. Teraz pójdziemy sobie gdzie indziej, czyli.
Będziemy logować się bez hasła. W piśmie Web Po wpisaniu Web otworzy nam się taki dodatek jak system logowania Web. Identyfikacja API generalnie to w tym dodatku nic w zasadzie nie zmieniamy. Ważną rzeczą do powiedzenia jest to, że jest to taki kooperacja specjalna napisana przez Fundację W3C i FIDO i przy połączeniu tych rzeczy możemy się logować do naszego interfejsu bez. Podawania hasła. Nawet teraz, gdybyśmy się wylądowali to widzicie, że tutaj mamy taki dodatkowy przycisk jak uwierzytelniania sieciowe jak teraz piszę to nic się nie dzieje. Jak pisze Joomla guru toteż nic się nie dzieje. Po pierwsze nie dzieje się nic bo nie mam żadnego klucza sprzętowego. Tak, żeby się zalogować potrzebny jest klucz sprzętowy, który obsługuje FIDO i tak naprawdę FIDO dwa. Zalogujmy się. Przejdźmy do użytkowników zarządzanie widzicie ja tutaj mam jednego użytkownika Joomla guru jakby ktoś nie znał. I tutaj mam taką dodatkową zakładkę jak logowanie i W3C. Przejdźmy w zasadzie nic wielkiego nie ma. Mamy opis, o którym mówiłem przed momentem pozwala zarządzać metodami logowania bez hasła za pomocą standardu W3C potrzebujesz przeglądarki uwierzytelniania Google Chrome Firefox kluczem bezpieczeństwa. FIDO 2. Jak dodamy sobie. Jeśli mamy laptopa, który ma jakiś czytnik biometryczny, czyli odcisk palca to prawdopodobnie będziesz mógł się z autoryzować i będziesz mógł z tego korzystać. Jeśli nie musisz mieć sprzęt klucz sprzętowy.Taki na przykład UBI Key gdzie za pomocą dotknięcia będziesz mógł się logować z autoryzować itd. Po oddaniu nowego urządzenia uwierzytelniającego wystarczy tylko, że wpisze swój login uwierzytelnisz się i będziesz mógł logować się bez hasła. Mniej więcej wygląda to tak. Selekcja demo dobiegła końca Zachęcam cię do pozostania jeszcze troszeczkę dłużej, aby zapoznać się z samym podsumowaniem.
A więc witam Cię w podsumowaniu nagłówków, jak i logowania bez hasła. Jak widzisz jest to trochę skomplikowane. Przyznam sam, że nie jest ten temat bardzo łatwy do ogarnięcia, bo niestety trzeba troszeczkę usiąść i dowiedzieć się co dany nagłówek sobą reprezentuje jak go możemy skonfigurować i czy nie będzie to nam przeszkadzało podczas użytkowania czy naszym użytkownikom nie będzie to przeszkadzało. Tak jak wspomniałem na przykład obsadzanie postów czy innych jak sobie za mocno zostawimy to po prostu tego nie będziemy mogli robić, bo nie będą tak zwane adresy URL na białej liście. Tak to w przenośni można powiedzieć. Czy warto tym tematem się zająć. Na pewno tak jak widzisz samo podstawowe uruchomienie Joomla 4 daje już jakąś poprawę bezpieczeństwa odnośnie nagłówków. Można je zwiększyć, ale to wymaga czasu trochę wiedzy jak się zapoznać z artykułem to na pewno tę wiedzę troszeczkę poszerzyć i łatwiej ci będzie co nieco ustawić. Natomiast jeśli chodzi o bezpieczne logowanie bez hasła to mogę tylko dodać jeszcze link gdzie można sobie takie klucze zakupić i po prostu używać. Jeśli ktoś nie ma sprzętowe zabezpieczenia biometrycznego, bo w zasadzie na tym to polega. Aby używać takie logowanie można sobie na próbę użyć np. telefonu komórkowego. Jeśli macie skanowanie na odcisk palca zapewne większość już takie telefony posiada. Więc jeśli masz zainstalowaną Joomla 4 to śmiało możesz zalogować się normalnie wejdź w profil jak na demo pokazywały autoryzację W3C tam sobie kliknąć na autoryzację urządzenie pojawi się okienko do potwierdzenia potwierdzić możesz się wylogować, a następnie podając login i klikając logowanie sieciowe automatycznie się zachowujesz bez hasła, a więc zachęcam Cię do pozostawienia subskrypcji jak i kliknięcia w dzwonek, aby ci przychodziły powiadomienia odnośnie nowych wideo dotyczących Joomla 4. Dziękuję Ci bardzo za uwagę, że dotrwałeś do samego końca to wideo jest zapewne dłuższe niż zazwyczaj można by było przedłużyć temat, ale nie chcę, żebyście się też za bardzo nudzili na tych wideo. Dziękuję za uwagę i zapraszamy już do następnego wideo.
O Joomla 4. Część!