Johdanto HSTS:ään
HSTS tarkoittaa HTTP Strict-Transport-Securitya, joka on verkkoturvallisuuspolitiikkamekanismi.
HSTS sisällytettiin ensimmäisen kerran ThoughtWorks Technology Radariin vuonna 2015, ja Technology Radarin viimeisimmässä numerossa vuonna 2016 se siirtyi suoraan "Trial"-vaiheesta "Adopt"-vaiheeseen, mikä tarkoittaa, että ThoughtWorks kannattaa vahvasti alan aktiivista omaksumista tämän turvallisuuspuolustustoimenpiteen käyttöön, ja ThoughtWorks on soveltanut sitä omissa projekteissaan.
HSTS:n ydin on HTTP-vastausotsikko. Se kertoo selaimelle, että nykyinen verkkotunnus on käytettävissä vain HTTPS:n kautta seuraavan ajan, ja jos selain huomaa, ettei nykyinen yhteys ole turvallinen, se pakottaisi kieltämään käyttäjän myöhemmät pääsypyynnöt.
HSTS-käytännöllä varustettu verkkosivusto varmistaa, että selain on aina yhteydessä verkkosivuston HTTPS-salattuun versioon, jolloin käyttäjien ei tarvitse syöttää salattua osoitetta manuaalisesti URL-osoitepalkkiin, mikä vähentää istunnon kaappauksen riskiä.
HTTPS (SSL ja TLS) varmistaa, että käyttäjät ja verkkosivustot kommunikoivat turvallisesti, mikä vaikeuttaa hyökkääjien sieppausta, muokkaamista ja esiintymistä. Kun käyttäjäSyötä manuaalisesti verkkotunnus tai http:// linkki, verkkosivustoltaEnsimmäinen pyyntö on salaamaton, käyttäen pelkkää http-lehteä. Turvallisimmat sivustot lähettävät välittömästi takaisin uudelleenohjauksen, joka ohjaa käyttäjän https-yhteyteen, kuitenkin,Man-in-the-middle -hyökkääjä voi hyökätä siepatakseen alkuperäisen HTTP-pyynnön ja siten hallitakseen käyttäjän myöhempää vastausta。
HSTS:n periaatteet
HSTS ohjaa pääasiassa selaintoimintoja lähettämällä vastauksen otsikoita palvelimelta:
Kun asiakas tekee pyynnön HTTPS:n yli, palvelin sisällyttää Strict-Transport-Security -kentän HTTP-vastauksen otsikossa, jonka se palauttaa.
Kun selain vastaanottaa tällaiset tiedot,Kaikki pyynnöt sivustolle tietyn ajan kuluessa käynnistetään HTTPS:lläilman, että HTTP:n käynnistämä palvelin ohjaa HTTPS:ään.
HSTS-vastauksen otsikkomuoto
Parametrin kuvaus:
max-age (sekunneissa): Käytetään kertomaan selaimelle, että verkkosivustolle on päästävä HTTPS-protokollan kautta tietyn ajan kuluessa. Eli tämän verkkosivuston HTTP-osoitteen osalta selaimen täytyy korvata se paikallisesti HTTPS:llä ennen pyynnön lähettämistä.
includeSubDomains (valinnainen): Jos tämä parametri on määritelty, se tarkoittaa, että kaikki sivuston alidomainit on myös käytettävä HTTPS-protokollan kautta.
preload: Lista verkkotunnuksista, jotka käyttävät selaimeen sisäänrakennettua HTTPS:ää.
HSTS:n esilatauslista
Vaikka HSTS on hyvä ratkaisu HTTPS:n heikkenemishyökkäyksiin, HSTS:lleEnsimmäinen HTTP-pyyntö ennen sen voimaantuloa on edelleenSitä ei voi välttääKaapattu。 Tämän ongelman ratkaisemiseksi selainvalmistajat ovat ehdottaneet HSTS Preload List -ratkaisua. (jätetty pois)
IIS-konfiguraatio
Ennen konfigurointia vieraile alla näkyvällä verkkosivustolla:
Tämän toteuttamiseksi IIS7+:ssa lisää vain CustomHeader-vaatimus HSTS:lle web.config-tiedostoon, joka on konfiguroitu seuraavasti:
Muutoksen jälkeen palaa verkkosivustolle, kuten alla on esitetty:
Nginx-konfiguraatio
Jos verkkosivusto käyttää nginx-käänteistä välityspalvelinta (nginx), voit myös konfiguroida nginxin suoraan toteuttamaan sen seuraavasti:
Chrome View -säännöt
Nähdäksesi nykyiset HSTS-säännöt, käytä Google Chrome Chromea kirjoittaaksesichrome://net-internals/#hstsSisään auto, kuten alla olevassa kuvassa näkyy:
viittaus
HTTP:n tiukka siirtoturvallisuus:Hyperlinkin kirjautuminen on näkyvissä.
(Loppu)
|
Julkaistu 17.9.2022 20.55.30
|
|
|
|
Julkaistu 19.9.2022 20.13.41
|
