Introducere în HSTS
HSTS înseamnă HTTP Strict-Transport-Security, care este un mecanism de politică de securitate web.
HSTS a fost inclus pentru prima dată în ThoughtWorks Technology Radar în 2015, iar în cea mai recentă ediție a Technology Radar din 2016, a trecut direct de la etapa "Testare" la faza "Adoptare", ceea ce înseamnă că ThoughtWorks susține cu tărie adoptarea activă a acestei măsuri de apărare a securității de către industrie, iar ThoughtWorks a aplicat-o în propriile proiecte.
Nucleul HSTS este un antet de răspuns HTTP. Este cel care informează browserul că numele de domeniu curent este accesibil doar prin HTTPS pentru următoarea perioadă de timp, iar dacă descoperă că conexiunea actuală nu este sigură, va refuza forțat cererile ulterioare de acces ale utilizatorului.
Un site web cu o politică HSTS va asigura că browserul este întotdeauna conectat la versiunea criptată HTTPS a site-ului, eliminând necesitatea ca utilizatorii să introducă manual adresa criptată în bara de adrese URL, reducând riscul de deturnare a sesiunii.
HTTPS (SSL și TLS) asigură că utilizatorii și site-urile web comunică în siguranță, făcând dificilă interceptarea, modificarea și impersonarea atacatorilor. Când un utilizatorIntroduceți manual un nume de domeniu sau un link http://, al site-uluiPrima cerere este necriptată, folosind http simplu. Cele mai sigure site-uri trimit imediat înapoi o redirecționare care direcționează utilizatorul către o conexiune https, însă,Un atacator man-in-the-middle poate ataca pentru a intercepta cererea HTTP inițială și astfel să controleze răspunsul ulterior al utilizatorului。
Principiile HSTS
HSTS controlează în principal operațiunile browserului prin trimiterea de antete de răspuns de pe server:
Când un client face o cerere prin HTTPS, serverul include câmpul Strict-Transport-Security în antetul răspunsului HTTP pe care îl returnează.
După ce browserul primește astfel de informații,Orice solicitare către site într-o anumită perioadă de timp este inițiată în HTTPSfără a fi redirecționat către HTTPS de către serverul inițiat de HTTP.
Formatul antetului de răspuns HSTS
Descrierea parametrului:
max-age (în secunde): Folosit pentru a informa browserul că site-ul trebuie accesat prin protocolul HTTPS într-o perioadă specificată de timp. Adică, pentru adresa HTTP a acestui site, browserul trebuie să o înlocuiască local cu HTTPS înainte de a trimite cererea.
includeSubDomains (opțional): Dacă acest parametru este specificat, indică faptul că toate subdomeniile site-ului trebuie accesate și prin protocolul HTTPS.
preload: O listă de nume de domenii care folosesc HTTPS integrată în browser.
Lista de preîncărcare HSTS
Deși HSTS este o soluție bună pentru atacurile de degradare HTTPS, pentru HSTSPrima cerere HTTP înainte să intre în vigoare, totușiNu poate fi evitatDeturnat。 Pentru a rezolva această problemă, producătorii de browsere au propus soluția HSTS Preload List. (omitat)
Configurația IIS
Înainte de configurare, vizitați site-ul web așa cum este prezentat mai jos:
Pentru a implementa acest lucru în IIS7+, pur și simplu adăugați cerința CustomHeader pentru HSTS în web.config, care este configurată astfel:
După modificare, revizitați site-ul, așa cum este prezentat mai jos:
Configurația Nginx
Dacă site-ul folosește nginx reverse proxy, poți configura și nginx direct pentru a-l implementa, după cum urmează:
Regulile de vizualizare Chrome
Pentru a vedea regulile actuale HSTS, folosește Google Chrome Chrome pentru a tastachrome://net-internals/#hstsIntră în mașină, așa cum se vede în figura de mai jos:
referință
Securitate strictă a transportului HTTP:Autentificarea cu hyperlink este vizibilă.
(Sfârșit)
|
Postat pe 17.09.2022 20:55:30
|
|
|
|
Postat pe 19.09.2022 20:13:41
|
