Uvod v HSTS
HSTS pomeni HTTP Strict-Transport-Security, ki je mehanizem spletne varnostne politike.
HSTS je bil prvič vključen v ThoughtWorks Technology Radar leta 2015, v zadnji številki revije Technology Radar iz leta 2016 pa je šel neposredno iz faze "Preizkus" v fazo "Adopt", kar pomeni, da ThoughtWorks močno zagovarja aktivno sprejetje tega varnostnega obrambnega ukrepa v industriji, ThoughtWorks pa ga je uporabil tudi pri svojih projektih.
Jedro HSTS je HTTP odgovorna glava. Prav ta sporoča brskalniku, da je trenutno domensko ime naslednje obdobje dostopno le prek HTTPS, in če brskalnik ugotovi, da trenutna povezava ni varna, uporabniku prisilno zavrne nadaljnje zahteve za dostop.
Spletna stran s politiko HSTS bo zagotovila, da je brskalnik vedno povezan s HTTPS šifrirano različico spletne strani, kar odpravlja potrebo po ročnem vnašanju šifriranega naslova v naslovni vrstici URL-ja in zmanjša tveganje za prevzem seje.
HTTPS (SSL in TLS) zagotavlja, da uporabniki in spletne strani komunicirajo varno, kar napadalcem otežuje prestrezanje, spreminjanje in lažno predstavljanje. Ko uporabnikRočno vnesite domeno ali http:// povezavo, na spletni straniPrva zahteva je nešifrirana, z uporabo navadnega http. Najvarnejše spletne strani pa takoj pošljejo preusmeritev, ki uporabnika usmeri na https povezavo,Napadalec tipa man-in-the-middle lahko napade, da prestreže začetno HTTP zahtevo in tako nadzoruje uporabnikov odgovor。
Načela HSTS
HSTS večinoma nadzoruje delovanje brskalnika s pošiljanjem odgovornih glav s strežnika:
Ko odjemalec pošlje zahtevo prek HTTPS, strežnik v HTTP odgovorno glavo, ki jo vrne, vključi polje Strict-Transport-Security.
Ko brskalnik prejme takšne informacije,Vsaka zahteva na strani v določenem časovnem obdobju se sproži prek HTTPSbrez preusmeritve na HTTPS s strani strežnika, ki ga sproži HTTP.
Format glave odgovora HSTS
Opis parametra:
max-age (v sekundah): Uporablja se, da brskalniku sporoči, da mora biti spletna stran dostopana prek protokola HTTPS v določenem časovnem obdobju. To pomeni, da mora brskalnik za HTTP naslov te spletne strani lokalno zamenjati z HTTPS, preden pošlje zahtevo.
includeSubDomains (neobvezno): Če je ta parameter določen, pomeni, da je treba do vseh poddomen strani dostopati tudi prek protokola HTTPS.
prednalaga: Seznam domen, ki uporabljajo HTTPS, vgrajen v brskalnik.
Seznam prednalaganja HSTS
Medtem ko je HSTS dobra rešitev za napade degradacije HTTPS, je za HSTS dobra rešitevPrvi HTTP zahtevek, preden začne veljati, še vednoTega se ni mogoče izognitiUgrabljena。 Za rešitev tega problema so proizvajalci brskalnikov predlagali rešitev HSTS Preload List. (izpuščeno)
IIS konfiguracija
Pred konfiguracijo obiščite spletno stran, kot je prikazano spodaj:
Za implementacijo tega v IIS7+ preprosto dodajte zahtevo CustomHeader za HSTS v web.config, ki je konfigurirana takole:
Po spremembi ponovno obiščite spletno stran, kot je prikazano spodaj:
Nginx konfiguracija
Če spletna stran uporablja nginx reverse proxy, lahko nginx tudi neposredno nastavite za implementacijo, kot sledi:
Pravila za Chrome View
Za ogled trenutnih pravil HSTS uporabite Google Chrome Chrome za tipkanjechrome://net-internals/#hstsVnesite avto, kot je prikazano na spodnji sliki:
Referenčni
HTTP stroga varnost transporta:Prijava do hiperpovezave je vidna.
(Konec)
|
Objavljeno na 17. 09. 2022 20:55:30
|
|
|
|
Objavljeno na 19. 09. 2022 20:13:41
|
