Bevezetés a HSTS-hez
A HSTS a HTTP Strict-Transport-Security rövidítése, amely egy webbiztonsági politikai mechanizmus.
A HSTS-t először 2015-ben került be a ThoughtWorks Technology Radar közül, és a Technology Radar legutóbbi számában, 2016-ban közvetlenül a "Trial" szakaszból az "Elfogadás" fázisba került, ami azt jelenti, hogy a ThoughtWorks erősen támogatja az iparág aktív alkalmazását ezen biztonsági védelmi intézkedés mellett, és a ThoughtWorks saját projektjeiben is alkalmazta azt.
A HSTS magja egy HTTP válaszfejléc. Ez az, ami tudatja a böngészővel, hogy a jelenlegi domain név csak HTTPS-en keresztül érhető el a következő időszakban, és ha a böngésző megállapítja, hogy a jelenlegi kapcsolat nem biztonságos, akkor erőszakkal elutasítja a felhasználó további hozzáférési kérelmeit.
A HSTS szabályzattal rendelkező weboldal biztosítja, hogy a böngésző mindig kapcsolódjon a weboldal HTTPS titkosított verziójához, így nem kell manuálisan beírni a titkosított címet az URL-cím sávba, csökkentve a session eltérítésének kockázatát.
Az HTTPS (SSL és TLS) biztosítja, hogy a felhasználók és weboldalak biztonságosan kommunikáljanak, így megnehezíti a támadók számára a meghallgatást, módosítást és a személyi szerepét megoldva. Amikor egy felhasználóManuálisan írj be egy domain nevet vagy http:// linket, a weboldalonAz első kérés titkosítatlan, egyszerű http használatával. A legbiztonságosabb weboldalak azonnal visszaküldenek egy átirányítást, amely a felhasználót egy https kapcsolathoz irányítja, azonban,Egy középen lévő támadó támadhat, hogy elfogja az eredeti HTTP kérést, így irányítsa a felhasználó későbbi válaszát。
HSTS elvei
A HSTS főként a böngészőműveleteket úgy irányítja, hogy válaszfejléceket küld a szerverről:
Amikor egy kliens HTTPS-en keresztül kér, a szerver a visszaküldött HTTP válaszfejlécében tartalmazza a Strict-Transport-Security mezőt.
Miután a böngésző megkapja az ilyen információkat,Bármely kérés a weboldalra meghatározott időn belül HTTPS-ben indulanélkül, hogy a HTTP által indított szerver irányítja át HTTPS-re.
HSTS válaszfejléc formátum
Paraméterleírás:
max-age (másodpercekben): Arra szolgál, hogy a böngészőt megmondja, hogy a weboldalt egy meghatározott időn belül meg kell érni az HTTPS protokollon keresztül. Vagyis a weboldal HTTP címét a böngészőnek helyben HTTPS-re kell cserélnie, mielőtt elküldi a kérést.
includeSubDomains (opcionális): Ha ez a paraméter meg van szabva, az azt jelzi, hogy az oldal minden aldomainjét az HTTPS protokollon keresztül is elérhetővé kell tenni.
preload: Egy lista olyan domainnevekről, amelyek a böngészőbe beépített HTTPS-t használnak.
HSTS előbetöltési lista
Míg a HSTS jó megoldás a HTTPS degradációs támadásokra, a HSTS esetébenAz első HTTP kérés még a hatálybalépés előttEzt nem lehet elkerülniEltérített。 Ennek a problémának a megoldására a böngészőgyártók a HSTS Preload List megoldást javasolták. (kihagyva)
IIS konfiguráció
A konfiguráció előtt látogasd meg az alábbi weboldalt:
Ennek megvalósításához IIS7+ esetén egyszerűen add hozzá a CustomHeader követelményt a HSTS számára a web.config-ban, amely a következőképpen van konfigurálva:
A módosítás után látogasson el újra a weboldalra, ahogy az alábbiakban látható:
Nginx konfiguráció
Ha a weboldal nginx reverse proxyt használ, akkor közvetlenül is konfigurálhatod a nginx-et a megvalósításra, az alábbiak szerint:
Chrome View szabályok
A jelenlegi HSTS szabályok megtekintéséhez használja a Google Chrome Chrome gépelésétchrome://net-internals/#hstsLépj be az autóba, ahogy az alábbi ábrán látható:
utalás
HTTP szigorú szállítási biztonság:A hiperlink bejelentkezés látható.
(Vége)
|
Közzétéve 2022. 09. 17. 20:55:30
|
|
|
|
Közzétéve 2022. 09. 19. 20:13:41
|
