Úvod do HSTS
HSTS znamená HTTP Strict-Transport-Security, což je mechanismus politiky webové bezpečnosti.
HSTS byl poprvé zařazen do ThoughtWorks Technology Radar v roce 2015 a v posledním vydání Technology Radar v roce 2016 přešel přímo ze fáze "Trial" do fáze "Adopt", což znamená, že ThoughtWorks silně prosazuje aktivní přijetí tohoto opatření na ochranu bezpečnosti průmyslem a ThoughtWorks jej aplikoval i na své vlastní projekty.
Jádrem HSTS je HTTP odpověď hlavička. Právě tato doména dává prohlížeči vědět, že aktuální doména je po příští dobu přístupná pouze přes HTTPS, a pokud prohlížeč zjistí, že současné připojení není bezpečné, násilně zamítne další žádosti uživatele o přístup.
Webová stránka s politikou HSTS zajistí, že prohlížeč bude vždy připojen k verzi webu šifrované pomocí HTTPS, čímž se eliminuje nutnost ručního zadávaní zašifrované adresy do adresního řádku URL a snižuje se riziko únosu relace.
HTTPS (SSL a TLS) zajišťuje, že uživatelé a weby komunikují bezpečně, což ztěžuje útočníkům zachycení, úpravu a napodobení. Když uživatelZadejte ručně doménové jméno nebo http:// odkaz, na webuPrvní požadavek je nešifrovaný, pomocí prostého http. Nejbezpečnější weby však okamžitě posílají zpět přesměrování, které uživatele nasměruje na https připojení, nicméněÚtočník typu man-in-the-middle může zaútočit, aby zachytil počáteční HTTP požadavek a tím ovládl následnou odpověď uživatele。
Principy HSTS
HSTS hlavně řídí provoz prohlížeče odesíláním hlaviček odpovědí ze serveru:
Když klient odesílá požadavek přes HTTPS, server zahrne pole Strict-Transport-Security do HTTP odpovědi, kterou vrátí.
Poté, co prohlížeč obdrží takové informace,Každý požadavek na stránku v určité době je iniciován pomocí HTTPSaniž by byl server spuštěn přes HTTP přesměrován na HTTPS.
Formát hlavičky odpovědi HSTS
Popis parametru:
max-age (v sekundách): Používá se k tomu, aby prohlížeči oznámil, že webová stránka musí být přístupná přes protokol HTTPS v určitém časovém období. To znamená, že pro HTTP adresu tohoto webu musí prohlížeč nahradit HTTPS lokálně před odesláním požadavku.
includeSubDomains (volitelné): Pokud je tento parametr specifikován, znamená to, že ke všem subdoménám stránky je třeba přistupovat také přes protokol HTTPS.
preload: Seznam doménových jmen používajících HTTPS zabudovaný v prohlížeči.
Seznam přednapínačů HSTS
HSTS je dobré řešení pro útoky na degradaci HTTPS, ale pro HSTSPrvní HTTP požadavek před jeho účinnostíNelze se tomu vyhnoutunesený。 Aby se tento problém vyřešil, výrobci prohlížečů navrhli řešení HSTS Preload List. (vynecháno)
Konfigurace IIS
Před konfigurací navštivte webové stránky, jak je uvedeno níže:
Pro implementaci tohoto v IIS7+ stačí jednoduše přidat požadavek na CustomHeader pro HSTS ve web.config, který je nakonfigurován následovně:
Po úpravě navštivte webové stránky, jak je uvedeno níže:
Konfigurace Nginx
Pokud web používá nginx reverse proxy, můžete také přímo nakonfigurovat nginx pro implementaci, následovně:
Pravidla pro Chrome View
Pro zobrazení aktuálních pravidel HSTS použijte Google Chrome Chrome a zadejtechrome://net-internals/#hstsVstup do vozu, jak je znázorněno na obrázku níže:
odkaz
HTTP přísná bezpečnost transportu:Přihlášení k hypertextovému odkazu je viditelné.
(Konec)
|
Zveřejněno 17.09.2022 20:55:30
|
|
|
|
Zveřejněno 19.09.2022 20:13:41
|
