Glavna stranica sigurnosti Što je HSTS i kako štiti HTTPS od hakera?

Što je HSTS i kako štiti HTTPS od hakera?

  • Harry James
  • 0
  • 3131
  • 509
Oglas

Možda ste bili sigurni da su vaše web stranice omogućene SSL, a prilično sigurnosni loko u vašem pregledniku je zelene boje. Međutim, možda ste zaboravili na HTTP-ovog malog zaštitara, HTTP-ovu strogu sigurnost prijevoza (HSTS).

Što je HSTS i kako može pomoći vašoj web lokaciji sigurno?

Što je HTTPS?

Hyper Text Transfer Protocol (HTTPS) je zaštićena verzija web stranice (HTTP). Šifriranje je omogućeno protokolom sloja sigurnih utičnica (SSL) i potvrđeno je SSL certifikatom. Kad se povežete s web stranicom HTTPS, podaci koji se prenose između web stranice i korisnika šifriraju se.

Ova šifriranje pomaže vam da se zaštitite od krađe podataka putem napada MITM (Man-in-the-Middle-Attacks). Dodani sloj sigurnosti također malo pomaže u poboljšanju ugleda vaše web stranice. Demistificirajte SEO: 5 Vodiča za optimizaciju tražilice koji vam pomažu da počnete Demistificirati SEO: 5 Vodiča za optimizaciju tražilice koji vam pomažu u početku Majstorstvo tražilice uzima znanje, iskustvo i puno suđenja i pogreške. Možete početi učiti osnove i lako izbjegavati uobičajene pogreške u SEO uz pomoć mnogih SEO vodiča koji su dostupni na webu. , Zapravo je dodavanje SSL certifikata tako jednostavno da će ga mnogi web-domaćini po zadanome besplatno dodati na vaše web mjesto! U skladu s tim, HTTPS i dalje ima neke nedostatke kojima HSTS može pomoći u uklanjanju.

Što je HSTS?

HSTS je zaglavlje odgovora koje obavještava preglednik s omogućenim web mjestima može pristupiti samo putem HTTPS-a. To prisiljava vaš preglednik na pristup samo HTTPS verziji web stranice i svim resursima na njemu.

Možda niste svjesni da je, iako ste pravilno postavili svoj SSL certifikat i omogućili HTTPS za svoju web stranicu, da je HTTP verzija i dalje dostupna. To vrijedi čak i ako ste postavili prosljeđivanje pomoću 301 stalne preusmjeravanja.

Iako su pravila o HSTS-u već neko vrijeme prisutna, Google ih je formalno predstavio tek u srpnju 2016. Zbog čega možda još niste puno čuli za njega.

Omogućivanje HSTS-a zaustavit će napade SSL protokola i otmice kolačića, što kolačić i kakve veze ima s mojom privatnošću? [MakeUseOf objašnjava] Što je kolačić i kakve to veze ima s mojom privatnošću? [MakeUseOf Explains] Većina ljudi zna da postoje kolačići razbacani po internetu, spremni i spremni da ih pojedu svi koji ih prvi pronađu. Čekaj, što? To ne može biti točno. Da, postoje kolačići ... dvije dodatne ranjivosti na web lokacijama omogućenim SSL-om. A osim što web mjesto čini sigurnijim, HSTS će ubrzati učitavanje web mjesta uklanjanjem koraka u postupku učitavanja.

Što je SSL uklanjanje?

Iako je HTTPS veliko poboljšanje od HTTP-a, nije neranjiv za hakiranje. Skidanje SSL-a vrlo je uobičajen MITM hack za web stranice koje koriste preusmjeravanje za slanje korisnika s HTTP-a na HTTPS verziju svoje web stranice..

301 (trajna) i 302 (privremena) preusmjeravanje u osnovi djeluje ovako:

  1. Korisnički tipovi google.com u adresnoj traci preglednika.
  2. Preglednik se u početku pokušava učitati http://google.com kao zadani.
  3. “Google.com” se postavlja s trajnim preusmjeravanjem 301 na https://google.com.
  4. Preglednik vidi preusmjeravanje i učitava se https://google.com umjesto.

S uklanjanjem SSL-a, haker može iskoristiti vrijeme između koraka 3 i koraka 4 da blokira zahtjev za preusmjeravanje i zaustavi preglednik da učita sigurnu (HTTPS) verziju web stranice. Kada tada pristupate nešifriranoj verziji web stranice, svi podaci koje unesete mogu se ukrasti.

Haker vas također može preusmjeriti na kopiju web stranice kojoj pokušavate pristupiti i zabilježiti sve vaše podatke dok unosite podatke, čak i ako izgledaju sigurno..

Google je implementirao korake u Chromeu kako bi zaustavio neke vrste preusmjeravanja. Međutim, omogućavanje HSTS-a trebalo bi od sada biti nešto što prema zadanim postavkama napravite za sve vaše web stranice.

Kako Omogućivanje HSTS-a zaustavlja uklanjanje SSL-a?

Omogućivanje HSTS-a prisiljava preglednik na učitavanje sigurne verzije web stranice i zanemaruje bilo koje preusmjeravanje i bilo koji drugi poziv za otvaranje HTTP veze. Ovo zatvara ranjivost preusmjeravanja koja postoji s preusmjeravanjem 301 i 302.

Negativna strana je čak i kod HSTS-a, a to je da preglednik korisnika mora vidjeti zaglavlje HSTS-a barem jednom prije nego što ga može iskoristiti za buduće posjete. To znači da će morati proći kroz HTTP> HTTPS proces barem jednom, što će ih učiniti ugroženima prvi put kada posjete web mjesto s omogućenom HSTS-om..

Da bi se borio protiv toga, Chrome unaprijed učitava popis web mjesta s omogućenom HSTS-om. Korisnici mogu sami predati web stranice s omogućenom HSTS na popis za predbilježbu ako odgovaraju potrebnim (jednostavnim) kriterijima.

Web stranice dodane na ovaj popis biti će tvrdo kodirane u budućim verzijama ažuriranja za Chrome. Sigurno je da će svi koji posjećuju web lokacije s omogućenom HSTS-om u ažuriranim verzijama Chromea ostati sigurni.

Firefox, Opera, Safari i Internet Explorer imaju vlastiti HSTS popis za predbilježbu, ali oni se temelje na Chromeovom popisu na hstspreload.org.

Kako omogućiti HSTS na svojoj web stranici

Da biste omogućili HSTS na svojoj web stranici, prvo morate imati važeći SSL certifikat. 7 razloga vašoj web lokaciji potreban SSL certifikat 7 razloga vašoj web lokaciji potreban je SSL certifikat Nije važno da li razvijate skromni blog ili punu e-trgovinu. site: trebate SSL certifikat. Evo nekoliko praktičnih razloga zašto. , Ako omogućite HSTS bez i jednog, vaša web lokacija bit će nedostupna bilo kojem posjetitelju, pa prije nastavka provjerite rade li vaša web lokacija i sve poddomene preko HTTPS-a.

Omogućivanje HSTS-a prilično je jednostavno. Jednostavno morate dodati zaglavlje datoteci .htaccess na vašoj web lokaciji. Zaglavlje koje trebate dodati je:

Stroga-Transportna sigurnost: max-dob = 31536000; includeSubDomains

Ovome se dodaje kolačić s maksimalnim pristupom dobi od jedne godine (što je kolačić? Kolačići nisu svi loši: 6 razloga da ih ostavite omogućeno na vašem pregledniku. Kolačići nisu svi loši: 6 razloga da ih ostavite omogućene na vašem pregledniku Jesu li kolačići zaista je li sve tako loše? Izlažu li vam sigurnost i privatnost ili postoje dobri razlozi za omogućavanje kolačića?), što uključuje vašu web stranicu i sve poddomene. Nakon što preglednik pristupi web mjestu, neće moći pristupiti nezaštićenoj HTTP verziji web mjesta godinu dana. Provjerite jesu li sve poddomene na ovoj domeni uključene u SSL certifikat i ima li omogućen HTTPS. Ako to zaboravite, poddomene neće biti dostupne nakon što spremite .htaccess datoteku.

Web stranice na kojima nedostaju includeSubDomains opcija može posjetitelje izložiti curenju privatnosti dopuštajući poddomenama da manipuliraju kolačićima. S includeSubDomains omogućeno, ti napadi povezani s kolačićima neće biti mogući.

Bilješka: Prije dodavanja jednogodišnje maksimure, testirajte cijelu web stranicu s petominutnom maksimumom najprije pomoću: max dobi = 300;

Google čak preporučuje da testirate web mjesto i njegove performanse (promet) s vrijednošću od jednog tjedna i mjeseca prije nego što primijenite dvogodišnju maks..

Pet minuta: stroga-transportna sigurnost: max-dob = 300; includeSubDomains Tjedan dana: Stroga-Transportna sigurnost: max-age = 604800; includeSubDomains Mjesec dana: Stroga-Transport-Sigurnost: max-age = 2592000; includeSubDomains

Izrada HSTS popisa za učitavanje

Do sad biste trebali biti upoznati sa HSTS-om i zašto je važno da ga vaša web stranica koristi. Održavanje posjetitelja vaše web stranice na mreži trebalo bi biti ključni element vašeg plana.

Da bi ispunjavala uvjete za HSTS popis za prethodno učitavanje koji upotrebljavaju Chrome i drugi preglednici, vaša web lokacija mora ispunjavati sljedeće zahtjeve:

  1. Poslužite valjani SSL certifikat.
  2. Preusmjerite s HTTP-a na HTTPS na istom hostu, ako slušate na priključku 80.
  3. Poslužujte sve poddomene preko HTTPS-a. Posebno morate podržati HTTPS za www.subdomain ako postoji DNS zapis za tu poddomenu.
  4. Poslužite zaglavlje HSTS na osnovnoj domeni za HTTPS zahtjeve:
    • Maksimalna dob mora biti najmanje 31536000 sekundi (1 godina).
    • Direktiva includeSubDomains mora biti navedena.
    • Morate navesti direktivu o prednaplati.
    • Ako služite dodatnu preusmjeravanje s vaše HTTPS web lokacije, to preusmjeravanje i dalje mora imati HSTS zaglavlje (a ne stranicu na koju se preusmjerava).

Ako želite svoje web mjesto dodati na popis za predbilježbu HSTS, obavezno dodajte traženo preload označiti. “preload” opcija označava da želite da vaše web mjesto bude dodano na Chromeov HSTS popis za predbilježbu. Zaglavlje odgovora u .htaccess bi tada trebalo izgledati ovako:

Stroga-Transportna sigurnost: max-dob = 63072000; includeSubDomains; preload

Preporučujemo da svoju web stranicu dodate na hstspreload.org. Zahtjevi su prilično jednostavni za ispunjavanje i pomoći će zaštititi posjetitelje vaše web stranice i potencijalno poboljšati rangiranje tražilice na vašoj web stranici Kako funkcioniraju tražilice? Kako funkcioniraju tražilice? Google je mnogima Internet. To je vjerojatno najvažniji izum otkad Internet. I dok su se tražilice od tada dosta promijenile, temeljni su principi i dalje isti. .




Još ne komentari

Pleks za Kodi Što je to i zašto mi treba?
Zabava
Kako instalirati privatne Roku kanale i otključati još sadržaja
Zabava
Najbolje aplikacije za audio knjige za sve vrste slušatelja
Zabava
O modernoj tehnologiji, jednostavnoj i pristupačnoj.
Vaš vodič u svijetu moderne tehnologije. Naučite kako koristiti tehnologije i uređaje koji nas okružuju svaki dan i naučite kako otkriti zanimljivosti na Internetu.