|
|
Yayınlandı 17.09.2022 20:55:30
|
|
|
|
HSTS'ye Giriş
HSTS, HTTP Strict-Transport-Security anlamına gelir ve web güvenlik politikası mekanizmasıdır.
HSTS, ilk olarak 2015 yılında ThoughtWorks Teknoloji Radarı'na dahil edildi ve 2016'daki son sayıda Teknoloji Radar'da doğrudan "Deneme" aşamasından "Benimse" aşamasına geçti; bu da ThoughtWorks'un bu güvenlik savunma önleminin sektörde aktif olarak benimsenmesini güçlü bir şekilde savunduğu anlamına geliyor ve ThoughtWorks bunu kendi projelerine uyguladı.
HSTS'nin çekirdeği HTTP yanıt başlığıdır. Bu durum, tarayıcıya mevcut alan adının bir sonraki süre boyunca yalnızca HTTPS üzerinden erişilebilir olduğunu bildirir ve eğer tarayıcı mevcut bağlantının güvenli olmadığını tespit ederse, kullanıcının sonraki erişim taleplerini zorla reddeder.
HSTS politikasına sahip bir web sitesi, tarayıcının her zaman HTTPS şifreli web sitesine bağlı olmasını sağlar; böylece kullanıcıların şifrelenmiş adresi URL adres çubuğuna manuel olarak girmesine gerek kalmaz ve oturum kaçırma riskini azaltır.
HTTPS (SSL ve TLS), kullanıcıların ve web sitelerinin güvenli iletişim kurmasını sağlar; bu da saldırganların müdahale etmesini, değiştirmesini ve taklit etmesini zorlaştırır. Bir kullanıcı olduğundaBir alan adı veya http:// bağlantısını manuel olarak girin, web sitesininİlk istek şifrelenmemiştir, sade http kullanarak. En güvenli web siteleri hemen kullanıcıyı https bağlantısına yönlendiren bir yönlendirme gönderir, ancakOrtada bir saldırgan, ilk HTTP isteğini yakalamak ve böylece kullanıcının sonraki yanıtını kontrol etmek için saldırabilir。
HSTS prensipleri
HSTS esas olarak tarayıcı işlemlerini sunucudan yanıt başlıkları göndererek kontrol eder:
Bir istemci HTTPS üzerinden bir talep yaptığında, sunucu geri döndüğü HTTP yanıt başlığına Strict-Transport-Security alanını ekler.
Tarayıcı bu bilgileri aldıktan sonra,Belirli bir süre içinde siteye yapılan herhangi bir talep HTTPS ile başlatılırHTTP tarafından başlatılan sunucu tarafından HTTPS'ye yönlendirilmeden.
HSTS yanıt başlığı formatı
Parametre açıklaması:
max-age (saniyeler): Tarayıcıya, web sitesinin HTTPS protokolü üzerinden belirli bir süre içinde erişilmesi gerektiğini söylemek için kullanılır. Yani, bu web sitesinin HTTP adresi için, tarayıcının isteği göndermeden önce yerel olarak HTTPS ile değiştirmesi gerekir.
includeSubDomains (isteğe bağlı): Bu parametre belirtilmişse, sitedeki tüm alt domainlerin HTTPS protokolü üzerinden de erişilmesi gerektiğini gösterir.
preload: Tarayıcıya entegre HTTPS kullanan alan adlarının listesi.
HSTS Ön Yükleme Listesi
HSTS, HTTPS bozulma saldırılarına karşı iyi bir çözüm olsa da, HSTS içinYürürlüğe girmeden önceki ilk HTTP isteği hâlâBundan kaçınılamazKaçırıldı。 Bu sorunu çözmek için tarayıcı üreticileri HSTS Ön Yükleme Listesi çözümünü önermiştir. (atlandı)
IIS yapılandırması
Konfigürasyondan önce, aşağıda gösterildiği gibi web sitesini ziyaret edin:
IIS7+'da bunu uygulamak için, web.config'de HSTS için CustomHeader gereksinimini eklemek yeterlidir ve bu gereksinim aşağıdaki şekilde yapılandırılmıştır:
Değişiklikten sonra, aşağıda gösterildiği gibi web sitesini tekrar ziyaret edin:
Nginx konfigürasyonu
Eğer web sitesi nginx ters proxy kullanıyorsa, nginx'i doğrudan bunu uygulamak için yapılandırmak da mümkündür, aşağıdaki gibi:
Chrome Görünüm Kuralları
Mevcut HSTS kurallarını görmek için Google Chrome Chrome kullanarak yazınchrome://net-internals/#hstsAşağıdaki şekilde gösterildiği gibi arabaya girin:
referans
HTTP Sıkı Taşıma Güvenliği:Bağlantı girişi görünür.
(Son)
|
Önceki:Dosyaları açılmış .msi kurulum paketinde açınÖnümüzdeki:Player Cloud, buluta indirme kaynak çözümü ekleyemiyor
|
Yayınlandı 19.09.2022 20:13:41
|
