Pengantar HSTS
HSTS adalah singkatan dari HTTP Strict-Transport-Security, yang merupakan mekanisme kebijakan keamanan web.
HSTS pertama kali dimasukkan dalam Radar Teknologi ThoughtWorks pada tahun 2015, dan dalam edisi terbaru Radar Teknologi pada tahun 2016, HSTS langsung beralih dari tahap "Uji Coba" ke fase "Adopsi", yang berarti bahwa ThoughtWorks sangat mengadvokasi adopsi aktif industri dari tindakan pertahanan keamanan ini, dan ThoughtWorks telah menerapkannya pada proyeknya sendiri.
Inti HSTS adalah header respons HTTP. Inilah yang memberi tahu browser bahwa nama domain saat ini hanya dapat diakses melalui HTTPS untuk jangka waktu berikutnya, dan jika browser menemukan bahwa koneksi saat ini tidak aman, browser akan secara paksa menolak permintaan akses pengguna berikutnya.
Situs web dengan kebijakan HSTS akan memastikan bahwa browser selalu terhubung ke versi terenkripsi HTTPS dari situs web, menghilangkan kebutuhan pengguna untuk memasukkan alamat terenkripsi secara manual di bilah alamat URL, mengurangi risiko pembajakan sesi.
HTTPS (SSL dan TLS) memastikan bahwa pengguna dan situs web berkomunikasi dengan aman, sehingga sulit bagi penyerang untuk mencegat, memodifikasi, dan meniru identitas. Saat penggunaMemasukkan nama domain atau tautan http:// secara manual, dari situs webPermintaan pertama tidak terenkripsi, menggunakan http biasa. Situs web paling aman segera mengirimkan kembali pengalihan yang mengarahkan pengguna ke koneksi https, namun,Penyerang man-in-the-middle dapat menyerang untuk mencegat permintaan HTTP awal dan dengan demikian mengontrol balasan pengguna berikutnya。
Prinsip HSTS
HSTS terutama mengontrol operasi browser dengan mengirim header respons dari server:
Saat klien membuat permintaan melalui HTTPS, server menyertakan bidang Strict-Transport-Security di header respons HTTP yang ditampilkannya.
Setelah browser menerima informasi tersebut,Setiap permintaan ke situs dalam jangka waktu tertentu dimulai dalam HTTPStanpa dialihkan ke HTTPS oleh server yang diprakarsai oleh HTTP.
Format header respons HSTS
Deskripsi parameter:
max-age (dalam detik): Digunakan untuk memberi tahu browser bahwa situs web harus diakses melalui protokol HTTPS dalam jangka waktu tertentu. Artinya, untuk alamat HTTP situs web ini, browser perlu menggantinya dengan HTTPS secara lokal sebelum mengirim permintaan.
includeSubDomains (opsional): Jika parameter ini ditentukan, ini menunjukkan bahwa semua subdomain situs juga harus diakses melalui protokol HTTPS.
preload: Daftar nama domain yang menggunakan HTTPS yang terpasang di browser.
Daftar Pramuat HSTS
Meskipun HSTS adalah solusi yang baik untuk serangan degradasi HTTPS, untuk HSTSPermintaan HTTP pertama sebelum diterapkan, masihItu tidak bisa dihindariDibajak。 Untuk mengatasi masalah ini, produsen browser telah mengusulkan solusi Daftar Pramuat HSTS. (dihilangkan)
Konfigurasi IIS
Sebelum konfigurasi, kunjungi websitus seperti yang ditunjukkan di bawah ini:
Untuk mengimplementasikan ini di IIS7+, cukup tambahkan persyaratan CustomHeader untuk HSTS di web.config, yang dikonfigurasi sebagai berikut:
Setelah modifikasi, kunjungi kembali situs web, seperti yang ditunjukkan di bawah ini:
Konfigurasi Nginx
Jika situs web menggunakan proxy terbalik nginx, Anda juga dapat mengonfigurasi nginx secara langsung untuk mengimplementasikannya, sebagai berikut:
Aturan Tampilan Chrome
Untuk melihat aturan HSTS saat ini, gunakan Google Chrome Chrome untuk mengetikchrome://net-internals/#hstsMasukkan mobil, seperti yang ditunjukkan pada gambar di bawah ini:
referensi
Keamanan Transportasi Ketat HTTP:Login hyperlink terlihat.
(Akhir)
|
Diposting pada 17/09/2022 20.55.30
|
|
|
|
Diposting pada 19/09/2022 20.13.41
|
