Въведение в HSTS
HSTS означава HTTP Strict-Transport-Security, което е механизъм за политика за уеб сигурност.
HSTS беше включен за първи път в ThoughtWorks Technology Radar през 2015 г., а в последния брой на Technology Radar през 2016 г. премина директно от етапа "Trial" към фазата "Adopt", което означава, че ThoughtWorks силно подкрепя активното приемане на тази мярка за сигурност в индустрията, а ThoughtWorks я прилага в собствените си проекти.
Ядрото на HSTS е HTTP отговорен хедър. Тя информира браузъра, че текущото домейн е достъпно само чрез HTTPS за следващия период от време, и ако установи, че текущата връзка не е сигурна, той насилствено ще откаже последващите заявки за достъп на потребителя.
Уебсайт с HSTS политика ще гарантира, че браузърът винаги е свързан с HTTPS криптираната версия на сайта, елиминирайки необходимостта потребителите ръчно да въвеждат криптиран адрес в URL адресната лента и намалявайки риска от отвличане на сесията.
HTTPS (SSL и TLS) гарантира, че потребителите и уебсайтовете комуникират сигурно, което затруднява нападателите да прихващат, модифицират и имитират. Когато потребителятВъведете ръчно домейн име или линк http://, на уебсайтаПървата заявка е некриптирана, използвайки обикновен http. Най-сигурните уебсайтове веднага изпращат пренасочване, насочващо потребителя към https връзка, ноНападател "човек в средата" може да атакува, за да прихване първоначалната HTTP заявка и така да контролира последващия отговор на потребителя。
Принципи на HSTS
HSTS основно контролира операциите на браузъра чрез изпращане на отговорни заглавия от сървъра:
Когато клиент направи заявка през HTTPS, сървърът включва полето Strict-Transport-Security в HTTP отговорния хедър, който връща.
След като браузърът получи такава информация,Всяка заявка към сайта в определен период от време се инициира чрез HTTPSбез да бъде пренасочен към HTTPS от сървъра, иницииран чрез HTTP.
Формат на HSTS отговорния заглавие
Описание на параметъра:
max-age (в секунди): Използва се, за да се каже на браузъра, че уебсайтът трябва да бъде достъпен чрез HTTPS протокола в определен срок. Тоест, за HTTP адреса на този уебсайт, браузърът трябва да го замени с HTTPS локално, преди да изпрати заявката.
includeSubDomains (по избор): Ако този параметър е зададен, това означава, че всички поддомейни на сайта трябва да бъдат достъпвани чрез HTTPS протокола.
Предварително зареждане: Списък с домейни, които използват HTTPS, вграден в браузъра.
Списък с предварително зареждане на HSTS
Докато HSTS е добро решение срещу атаки с деградация на HTTPS, за HSTSПървата HTTP заявка преди да влезе в сила, все ощеТова не може да бъде избегнатоОтвлечени。 За да решат този проблем, производителите на браузъри предложиха решението HSTS Preload List. (пропуснато)
Конфигурация на IIS
Преди конфигурацията посетете уебсайта, както е показано по-долу:
За да го реализирате в IIS7+, просто добавете изискването CustomHeader за HSTS в web.config, което е конфигурирано по следния начин:
След модификацията посетете отново уебсайта, както е показано по-долу:
Конфигурация Nginx
Ако уебсайтът използва nginx reverse proxy, можете също да конфигурирате nginx директно да го реализира, както следва:
Правила за Chrome View
За да видите актуалните правила на HSTS, използвайте Google Chrome Chrome, за да въведетеchrome://net-internals/#hstsВлизайте в колата, както е показано на фигурата по-долу:
препратка
HTTP Строга транспортна сигурност:Входът към хиперлинк е видим.
(Край)
|
Публикувано в 17.09.2022 г. 20:55:30 ч.
|
|
|
|
Публикувано в 19.09.2022 г. 20:13:41 ч.
|
