«HTTP Strict-Transport-Security» или как обезопасить себя от атак «man-in-the-middle» и заставить браузер всегда использовать HTTPS
Внимание к мелочам рождает совершенство,
а вот совершенство уже не мелочь.
Микеланджело Буонарроти
C 2012 года администраторам веб-ресурсов стала доступна новая технология HTTP Strict Transport Security (HSTS) — механизм, активирующий форсированное защищённое соединение по HTTPS. Данная политика безопасности позволяет сразу же устанавливать безопасное соединение, вместо использования HTTP. Механизм использует особый заголовок HTTP Strict-Transport-Security, для переключения пользователя, зашедшего по HTTP, на HTTPS-сервер [
1
].
HSTS направлен на закрытие следующих уязвимостей к атакам:
Включается данная технология проще простого, необходимо возвращать пользователю HTTP-заголовок «Strict-Transport-Security» в тот момент, когда он заходит на сайт по HTTPS:
expireTime
Время в секундах, на которое браузер должен запомнить, что данный сайт должен посещаться исключительно по HTTPS. includeSubdomains (опционально)
Если указать этот необязательный параметр, правила так же применятся ко всем поддоменам.
Читать дальше →
Источник:Хабрахабр, Информационная безопасность
а вот совершенство уже не мелочь.
Микеланджело Буонарроти
C 2012 года администраторам веб-ресурсов стала доступна новая технология HTTP Strict Transport Security (HSTS) — механизм, активирующий форсированное защищённое соединение по HTTPS. Данная политика безопасности позволяет сразу же устанавливать безопасное соединение, вместо использования HTTP. Механизм использует особый заголовок HTTP Strict-Transport-Security, для переключения пользователя, зашедшего по HTTP, на HTTPS-сервер [
1
].
HSTS направлен на закрытие следующих уязвимостей к атакам:
| Пользователь помещает в закладки или набирает в адресной строке http://example.com/ и становится жертвой атаки «man-in-the-middle» | HSTS автоматически преобразует HTTP-запросы в HTTPS для целевого домена |
| Веб-приложение, предполагаемое к использованию строго по HTTPS, по небрежности содержит HTTP-ссылки или отдает контент по HTTP | HSTS автоматически преобразует HTTP-запросы в HTTPS для целевого домена |
| Атакующий «man-in-the-middle» пытается перехватить трафик жертвы используя поддельный сертификат в надежде, что пользователь не обратит внимания на сообщение о невалидном сертификате | HSTS не даст пользователю пройти дальше сообщения о проблемах с сертификатом |
Strict-Transport-Security: max-age=expireTime [; includeSubdomains]
expireTime
Время в секундах, на которое браузер должен запомнить, что данный сайт должен посещаться исключительно по HTTPS. includeSubdomains (опционально)
Если указать этот необязательный параметр, правила так же применятся ко всем поддоменам.
Читать дальше →
Источник:Хабрахабр, Информационная безопасность
Похожие новости
- Как внедрить культуру кибербезопасности “с нуля” в небольшой компании?
- Kaisen Linux официально закрыт: что теряют сисадмины и какие есть альтернативы
- Wunder Digital: TikTok — 95% охвата, Youtube — №1 среди видеоресурсов. Мультиканальность как норма: тенденции в digital в Беларуси в 2025
- Подломить и закрепиться: как злоумышленники используют IoT в кибератаках и при чем здесь DNS-туннелирование
- Почему алгоритм плохо защищает от социальной инженерии: мысленный эксперимент в мире кантианцев-манипуляторов
- МТС Твой бизнес: Telegram первым из мессенджеров в России вышел на охват в 100 млн пользователей
- Spark_news: Спрос на книги вырос на 16% - исследование
- Raketa: Спрос на бизнес-поездки в страны Персидского залива увеличился вдвое
- [Перевод] От открытия до эксплуатации: Полное руководство по разведке S3 бакетов
- Атрибуция Exchange-кейлоггеров к группировке PhantomCore