Sissejuhatus HSTS-i
HSTS tähendab HTTP Strict-Transport-Security, mis on veebiturvalisuse poliitika mehhanism.
HSTS lisati esmakordselt ThoughtWorks Technology Radari 2015. aastal ning 2016. aasta viimases Technology Radari numbris liikus see otse "Trial" faasist "Adopt" faasi, mis tähendab, et ThoughtWorks pooldab tugevalt selle turvakaitse meetmeni tööstuse aktiivset kasutuselevõttu ning ThoughtWorks on seda rakendanud ka oma projektides.
HSTS-i tuum on HTTP vastuspäis. Just see annab brauserile teada, et praegune domeeninimi on HTTPS-i kaudu ligipääsetav ainult järgmise aja jooksul ning kui brauser leiab, et praegune ühendus pole turvaline, lükkab ta jõuga tagasi kasutaja järgnevad juurdepääsutaotlused.
HSTS-poliitikaga veebileht tagab, et brauser on alati ühendatud veebilehe HTTPS-krüpteeritud versiooniga, kõrvaldades vajaduse krüpteeritud aadressi käsitsi URL-i aadressiribale sisestada ning vähendada sessiooni kaaperdamise riski.
HTTPS (SSL ja TLS) tagab, et kasutajad ja veebilehed suhtlevad turvaliselt, muutes ründajatel raskeks nende pealtkuulamise, muutmise ja esinemise. Kui kasutajaSisesta käsitsi domeeninimi või http:// link, veebileheEsimene päring on krüpteerimata, kasutades tavalist http. Kõige turvalisemad veebilehed saadavad kohe tagasisuunamise, mis suunab kasutaja https-ühendusele, kuidMan-in-the-middle ründaja võib rünnata, et kinni püüda algne HTTP päring ja seeläbi kontrollida kasutaja järgmist vastust。
HSTS põhimõtted
HSTS juhib peamiselt brauseri toiminguid, saates serverist vastuspäiseid:
Kui klient esitab päringu HTTPS-i kaudu, lisab server HTTP vastusepäisesse välja Strict-Transport-Security.
Pärast seda, kui brauser on sellise info kätte saanud,Iga päring saidile teatud aja jooksul algatatakse HTTPS-isilma HTTP poolt algatatud serveri poolt HTTPS-ile suunamata.
HSTS vastuse päise formaat
Parameetri kirjeldus:
max-age (sekundites): Kasutatakse selleks, et öelda brauserile, et veebilehele tuleb ligipääs HTTPS protokolli kaudu kindlaksmääratud aja jooksul. See tähendab, et selle veebilehe HTTP-aadressi puhul peab brauser selle enne päringu saatmist lokaalselt HTTPS-iga asendama.
includeSubDomains (valikuline): Kui see parameeter on määratud, tähendab see, et kõik saidi alamdomeenid tuleb kasutada ka HTTPS-protokolli kaudu.
eelload: Domeeninimede nimekiri, mis kasutavad brauseris sisseehitatud HTTPS-i.
HSTS-i eellaadimiste nimekiri
Kuigi HSTS on hea lahendus HTTPS-i halvenemisrünnakutele, siis HSTS-i puhulEsimene HTTP-päring enne selle jõustumist on endiseltSeda ei saa vältidaKaaperdatud。 Selle probleemi lahendamiseks on brauseritootjad pakkunud välja HSTS eellaadimisloendi lahenduse. (välja jäetud)
IIS konfiguratsioon
Enne seadistamist külastage allpool näidatud veebisaiti:
Selle rakendamiseks IIS7+ süsteemis lisa lihtsalt HSTS-i CustomHeaderi nõue web.config-is, mis on seadistatud järgmiselt:
Pärast muudatust külasta veebilehte uuesti, nagu allpool näidatud:
Nginx konfiguratsioon
Kui veebisait kasutab nginx pöördproksit, saad nginx-i otse seadistada selle rakendamiseks järgmiselt:
Chrome View reeglid
Praeguste HSTS-i reeglite nägemiseks kasuta Google Chrome Chrome'i trükkimisekschrome://net-internals/#hstsSisene autosse, nagu alloleval joonisel näidatud:
viide
HTTP range transporditurvalisus:Hüperlingi sisselogimine on nähtav.
(Lõpp)
|
Postitatud 17.09.2022 20:55:30
|
|
|
|
Postitatud 19.09.2022 20:13:41
|
