Úvod do HSTS
HSTS znamená HTTP Strict-Transport-Security, čo je mechanizmus webovej bezpečnostnej politiky.
HSTS bol prvýkrát zaradený do ThoughtWorks Technology Radar v roku 2015 a v najnovšom čísle Technology Radar v roku 2016 prešiel priamo zo fázy "Trial" do fázy "Adopt", čo znamená, že ThoughtWorks silno podporuje aktívne prijatie tohto opatrenia na ochranu bezpečnosti v odvetví a ThoughtWorks ho aplikoval aj na svoje vlastné projekty.
Jadrom HSTS je HTTP odpovedná hlavička. Práve ona dáva prehliadaču vedieť, že aktuálne doménové meno je dostupné len cez HTTPS počas nasledujúceho času, a ak prehliadač zistí, že aktuálne pripojenie nie je bezpečné, násilne zamietne následné požiadavky používateľa na prístup.
Webová stránka s politikou HSTS zabezpečí, že prehliadač bude vždy pripojený k verzii webu šifrovanej cez HTTPS, čím sa eliminuje potreba manuálneho zadávania zašifrovanej adresy do adresného riadku URL a znižuje sa riziko únosu relácie.
HTTPS (SSL a TLS) zabezpečuje, že používatelia a webové stránky komunikujú bezpečne, čo útočníkom sťažuje zachytávanie, modifikáciu a vydávanie sa za nich. Keď používateľManuálne zadajte doménové meno alebo http:// odkaz, na webovej stránkePrvá požiadavka je nešifrovaná, pomocou obyčajného http. Najbezpečnejšie webové stránky okamžite posielajú späť presmerovanie, ktoré používateľa smeruje na https pripojenie, avšakÚtočník typu man-in-the-middle môže zaútočiť, aby zachytil počiatočnú HTTP požiadavku a tým kontroloval následnú odpoveď používateľa。
Princípy HSTS
HSTS hlavne riadi prevádzku prehliadača odosielaním hlavičiek odpovedí zo servera:
Keď klient vykoná požiadavku cez HTTPS, server zahrnie pole Strict-Transport-Security do HTTP odpovede, ktorú vráti.
Po prijatí takýchto informácií prehliadačom,Každá požiadavka na stránku v určitom časovom období sa iniciuje v HTTPSbez toho, aby bol presmerovaný na HTTPS serverom iniciovaným HTTP.
Formát hlavičky odpovede HSTS
Popis parametra:
max-age (v sekundách): Používa sa na informovanie prehliadača, že webová stránka musí byť prístupná cez protokol HTTPS v stanovenom časovom období. To znamená, že pre HTTP adresu tejto webovej stránky musí prehliadač nahradiť HTTPS lokálne pred odoslaním požiadavky.
includeSubDomains (voliteľné): Ak je tento parameter špecifikovaný, znamená to, že všetky subdomény stránky musia byť prístupné aj cez protokol HTTPS.
preload: Zoznam doménových mien, ktoré používajú HTTPS, zabudovaný v prehliadači.
Zoznam prednapätia HSTS
Zatiaľ čo HSTS je dobrým riešením pre HTTPS degradačné útoky, pre HSTSPrvá HTTP požiadavka pred jeho účinkovaním stáleNedá sa tomu vyhnúťUnesený。 Na vyriešenie tohto problému navrhli výrobcovia prehliadačov riešenie HSTS Preload List. (vynechané)
Konfigurácia IIS
Pred konfiguráciou navštívte webovú stránku, ako je uvedené nižšie:
Na implementáciu tohto v IIS7+ stačí pridať požiadavku na CustomHeader pre HSTS v web.config, ktorá je nakonfigurovaná nasledovne:
Po úprave sa vráťte na webovú stránku, ako je uvedené nižšie:
Nginx konfigurácia
Ak webová stránka používa nginx reverzný proxy, môžete tiež priamo nakonfigurovať nginx na jeho implementáciu, nasledovne:
Pravidlá zobrazenia v Chrome
Ak chcete vidieť aktuálne pravidlá HSTS, použite Google Chrome Chrome na písaniechrome://net-internals/#hstsVstúpte do auta, ako je znázornené na obrázku nižšie:
referencia
HTTP prísna bezpečnosť transportu:Prihlásenie na hypertextový odkaz je viditeľné.
(Koniec)
|
Zverejnené 17. 9. 2022 20:55:30
|
|
|
|
Zverejnené 19. 9. 2022 20:13:41
|
