Sentry: Recopilación de Informes de Políticas de Seguridad Web

La plataforma Sentry ofrece la capacidad de recopilar información crucial sobre infracciones de políticas de seguridad mediante la configuración adecuada de los encabezados HTTP. Esto incluye datos sobre violaciones de la Política de Seguridad de Contenido (CSP), fallos de Expect-CT y errores de HTTP Public Key Pinning (HPKP).

Al configurar estos encabezados para que envíen sus informes a un punto final específico de Sentry, las incidencias de seguridad pueden ser capturadas y analizadas de manera centralizada.

Política de Seguridad de Contenido (CSP)

La Política de Seguridad de Contenido (CSP) es un estándar de seguridad diseñado para mitigar vulnerabilidades como los ataques de scripting entre sitios (XSS), clickjacking y otras formas de inyección de código que explotan la ejecución de contenido malicioso en un contexto de página web confiable. Los navegadores web son los encargados de aplicar estas políticas, y Sentry soporta la captura de infracciones de CSP utilizando un hook de reporte estándar.

Para configurar la generación de informes de CSP en Sentry, es necesario que su servidor envíe un encabezado HTTP que defina su política de seguridad y especifique el punto final autenticado de Sentry al que se deben enviar los informes:

Content-Security-Policy: default-src 'self'; script-src 'self' https://sentry.io; report-uri https://o0.ingest.sentry.io/api/0/security/?sentry_key=SU_CLAVE_PUBLICA_SENTRY_AQUI

Alternativamente, puede optar por una configuración que solo reporte las violaciones sin aplicar la política activamente, útil para auditorías:

Content-Security-Policy-Report-Only: default-src 'self'; script-src 'self' https://sentry.io; report-uri https://o0.ingest.sentry.io/api/0/security/?sentry_key=SU_CLAVE_PUBLICA_SENTRY_AQUI

Es crucial asegurarse de que su dominio de Sentry (sentry.io o su instancia autoalojada) esté encluido en las directivas default-src o connect-src de su política. De lo contrario, el navegador podría bloquear las solicitudes de reporte de violaciones.

Para más información detallada sobre CSP, consulte el artículo en MDN.

Expect-CT

La Transparencia de Certificados (CT) es un estándar de seguridad que facilita el seguimiento y la verificación de certificados válidos, lo que a su vez permite la identificación de certificados emitidos de forma maliciosa. El encabezado Expect-CT ayuda a reforzar esta seguridad.

Para configurar los informes de Expect-CT en Sentry, configure el encabezado Expect-CT en su servidor de la siguiente manera:

Expect-CT: enforce, max-age=86400, report-uri="https://o0.ingest.sentry.io/api/0/security/?sentry_key=SU_CLAVE_PUBLICA_SENTRY_AQUI"

Consulte la documentación de MDN para obtener más detalles sobre Expect-CT.

HTTP Public Key Pinning (HPKP)

HTTP Public Key Pinning (HPKP) es una característica de seguridad que instruye a los clientes web a asociar una clave pública criptográfica específica con un servidor web particular. Esto reduce el riesgo de ataques Man-in-the-Middle (MITM) que utilizan certificados falsificados. Los navegadores web también aplicen esta política, y Sentry es capaz de capturar informes de violaciones utilizando un mecanismo de reporte estándar.

Para habilitar los informes de HPKP en Sentry, su servidor debe enviar un encabezado que describa su política de claves públicas y apunte al extremo autenticado de Sentry:

Public-Key-Pins: pin-sha256="base64=="; pin-sha256="base64=="; max-age=5184000; includeSubDomains; report-uri="https://o0.ingest.sentry.io/api/0/security/?sentry_key=SU_CLAVE_PUBLICA_SENTRY_AQUI"

Puede encontrar más información sobre HPKP en la documentación de MDN.

Configuración Adicional para Informes

Además del parámetro sentry_key, es posible incluir los siguientes parámetros en la cadena de consulta de la URI de reporte para proporcionar contexto adicional a los eventos de seguridad:

  • sentry_environment: Define el nombre del entorno (por ejemplo, production, staging).
  • sentry_release: Especifica la versión de la aplicación que está generando el informe.

Etiquetas: Sentry ContentSecurityPolicy CSP Expect-CT HPKP

Publicado el 7-19 08:16