Strona główna Bezpieczeństwo Co to jest HSTS i jak chroni HTTPS przed hakerami?

Co to jest HSTS i jak chroni HTTPS przed hakerami?

  • Harry James
  • 0
  • 2899
  • 635
Reklama

Być może upewniłeś się, że twoje witryny mają włączoną obsługę SSL, a ładna kłódka bezpieczeństwa w przeglądarce jest zielona. Być może zapomniałeś o małym człowieku bezpieczeństwa HTTP, HTTP Strict Transport Security (HSTS).

Co to jest HSTS i jak może pomóc w utrzymaniu bezpieczeństwa witryny?

Co to jest HTTPS?

Hyper Text Transfer Protocol Secure (HTTPS) to zabezpieczona wersja strony internetowej (HTTP). Szyfrowanie jest włączane za pomocą protokołu Secure Sockets Layer (SSL) i jest weryfikowane za pomocą certyfikatu SSL. Gdy łączysz się z witryną HTTPS, informacje przesyłane między witryną a użytkownikiem są szyfrowane.

To szyfrowanie pomaga chronić Cię przed kradzieżą danych poprzez ataki typu man-in-the-Middle-Attack (MITM). Dodana warstwa zabezpieczeń również nieznacznie pomaga poprawić reputację witryny Demystify SEO: 5 przewodników optymalizacji pod kątem wyszukiwarek, które pomogą Ci rozpocząć Demystify SEO: 5 przewodników optymalizacji pod kątem wyszukiwarek, które pomogą Ci rozpocząć Umiejętność korzystania z wyszukiwarek wymaga wiedzy, doświadczenia i wielu prób i błąd. Możesz zacząć uczyć się podstaw i łatwo unikać typowych błędów SEO za pomocą wielu poradników SEO dostępnych w Internecie. . W rzeczywistości dodanie certyfikatu SSL jest tak łatwe, że wielu hostów domyślnie doda go do Twojej witryny za darmo! To powiedziawszy, HTTPS wciąż ma pewne wady, które HSTS może pomóc naprawić.

Co to jest HSTS?

HSTS to nagłówek odpowiedzi, który informuje przeglądarkę, że do włączonych stron można uzyskać dostęp tylko za pośrednictwem HTTPS. To zmusza twoją przeglądarkę do uzyskania dostępu tylko do wersji HTTPS strony internetowej i wszelkich zasobów w niej zawartych.

Być może nie wiesz, że nawet jeśli poprawnie skonfigurowałeś certyfikat SSL i włączyłeś HTTPS dla swojej witryny, to wersja HTTP jest nadal dostępna. Dzieje się tak nawet wtedy, gdy skonfigurowano przekazywanie przy użyciu stałego przekierowania 301.

Chociaż zasady HSTS istnieją już od jakiegoś czasu, zostały formalnie wprowadzone przez Google dopiero w lipcu 2016 r. Być może dlatego jeszcze o nich nie słyszałeś.

Włączenie HSTS powstrzyma ataki protokołu SSL i przechwycenie plików cookie. Co to jest plik cookie i co ma wspólnego z moją prywatnością? [MakeUseOf wyjaśnia] Co to jest plik cookie i co ma wspólnego z moją prywatnością? [MakeUseOf wyjaśnia] Większość ludzi wie, że w Internecie są porozrzucane ciasteczka, gotowe i chętne do zjedzenia przez każdego, kto pierwszy je znajdzie. Czekaj, co? To nie może być prawda. Tak, istnieją pliki cookie… dwie dodatkowe luki w witrynach obsługujących protokół SSL. Oprócz zwiększenia bezpieczeństwa witryny, HSTS przyspieszy ładowanie stron, usuwając jeden z etapów procedury ładowania.

Co to jest stripping SSL?

Chociaż HTTPS jest ogromnym ulepszeniem w stosunku do HTTP, nie jest odporny na ataki hakerów. Stripping SSL to bardzo powszechny hack MITM dla stron internetowych, które wykorzystują przekierowanie do wysyłania użytkowników z HTTP do wersji HTTPS swojej witryny.

Przekierowanie 301 (trwałe) i 302 (tymczasowe) działa w następujący sposób:

  1. Typ użytkownika google.com w pasku adresu przeglądarki.
  2. Przeglądarka początkowo próbuje się załadować http://google.com jako domyślny.
  3. “Google.com” jest skonfigurowany z ciągłym przekierowaniem 301 na https://google.com.
  4. Przeglądarka widzi przekierowanie i ładuje się https://google.com zamiast.

Dzięki usuwaniu SSL haker może wykorzystać czas między krokiem 3 a krokiem 4, aby zablokować żądanie przekierowania i powstrzymać przeglądarkę przed ładowaniem bezpiecznej (HTTPS) wersji witryny. W trakcie uzyskiwania dostępu do niezaszyfrowanej wersji witryny wszelkie wprowadzone dane mogą zostać skradzione.

Haker może również przekierować Cię do kopii witryny, do której próbujesz uzyskać dostęp, i przechwytywać wszystkie dane podczas ich wprowadzania, nawet jeśli wyglądają na bezpieczne.

Google wdrożyło kroki w Chrome, aby zatrzymać niektóre rodzaje przekierowań. Jednak włączenie HSTS powinno być odtąd domyślnie wykonywane dla wszystkich stron internetowych.

W jaki sposób włączanie HSTS zatrzymuje usuwanie pasków SSL?

Włączenie HSTS zmusza przeglądarkę do załadowania bezpiecznej wersji strony internetowej i ignoruje wszelkie przekierowania i wszelkie inne połączenia w celu otwarcia połączenia HTTP. To zamyka lukę przekierowania, która istnieje w przypadku przekierowania 301 i 302.

Istnieje nawet negatywna strona HSTS, a to oznacza, że ​​przeglądarka użytkownika musi zobaczyć nagłówek HSTS co najmniej raz, zanim będzie mógł z niego skorzystać podczas przyszłych wizyt. Oznacza to, że będą musieli przejść przez proces HTTP> HTTPS co najmniej raz, co naraża ich na ryzyko przy pierwszej wizycie w witrynie obsługującej HSTS.

Aby temu zaradzić, Chrome wstępnie ładuje listę witryn z włączonym HSTS. Użytkownicy mogą sami przesyłać witryny z włączoną obsługą HSTS do listy wstępnego ładowania, jeśli spełniają wymagane (proste) kryteria.

Witryny dodane do tej listy zostaną zakodowane na stałe w przyszłych wersjach aktualizacji Chrome. Dba o to, aby każdy, kto odwiedza witryny z włączoną obsługą HSTS w zaktualizowanych wersjach Chrome, pozostanie bezpieczny.

Firefox, Opera, Safari i Internet Explorer mają własną listę wstępnego ładowania HSTS, ale są one oparte na liście Chrome na hstspreload.org.

Jak włączyć HSTS w swojej witrynie

Aby włączyć HSTS na swojej stronie, musisz najpierw mieć ważny certyfikat SSL. 7 powodów, dla których Twoja witryna potrzebuje certyfikatu SSL. 7 powodów, dla których Twoja witryna potrzebuje certyfikatu SSL. Nie ma znaczenia, czy prowadzisz skromny blog, czy pełny e-commerce. witryna: potrzebujesz certyfikatu SSL. Oto kilka praktycznych powodów. . Jeśli włączysz HSTS bez niego, Twoja witryna będzie niedostępna dla każdego odwiedzającego, więc upewnij się, że witryna i wszelkie poddomeny działają na HTTPS przed kontynuowaniem.

Włączenie HSTS jest dość łatwe. Musisz po prostu dodać nagłówek do pliku .htaccess w swojej witrynie. Nagłówek, który musisz dodać to:

Ścisłe bezpieczeństwo transportu: maksymalny wiek = 31536000; includeSubDomains

Dodaje to maksymalny roczny plik cookie dostępu do wieku (co to jest plik cookie? Ciasteczka nie są złe: 6 powodów, aby je zostawić włączone w przeglądarce Ciasteczka nie są złe: 6 powodów, aby je zostawić włączone w przeglądarce Czy pliki cookie są naprawdę czy to wszystko zagraża bezpieczeństwu i prywatności, czy istnieją uzasadnione powody, aby włączyć obsługę plików cookie?), w tym witryny i subdomen. Gdy przeglądarka uzyska dostęp do witryny, przez rok nie będzie mogła uzyskać dostępu do niezabezpieczonej wersji HTTP witryny. Upewnij się, że wszystkie subdomeny w tej domenie są zawarte w certyfikacie SSL i mają włączony HTTPS. Jeśli zapomnisz o tym, subdomeny nie będą dostępne po zapisaniu pliku .htaccess.

Witryny, w których brakuje includeSubDomains opcja może narazić odwiedzających na wycieki prywatności, umożliwiając poddomenom manipulowanie plikami cookie. Z includeSubDomains włączone, te ataki związane z plikami cookie nie będą możliwe.

Uwaga: Przed dodaniem rocznego maksymalnego wieku najpierw przetestuj całą witrynę z pięciominutowym maksymalnym wiekiem, używając: maksymalny wiek = 300;

Google zaleca nawet przetestowanie witryny i jej wydajności (ruchu) z tygodniową wartością, a także z miesiącem przed wdrożeniem dwuletniego maksymalnego wieku.

Pięć minut: ścisłe bezpieczeństwo transportu: maksymalny wiek = 300; includeSubDomains Tydzień: ścisłe bezpieczeństwo transportu: maksymalny wiek = 604800; includeSubDomains Jeden miesiąc: ścisłe bezpieczeństwo transportu: maksymalny wiek = 2592000; includeSubDomains

Tworzenie listy wstępnego ładowania HSTS

Do tej pory powinieneś znać HSTS i dlaczego ważne jest, aby Twoja strona go używała. Zapewnienie bezpieczeństwa odwiedzającym witrynę internetową w trybie online powinno być kluczowym elementem planu witryny.

Aby kwalifikować się do listy wstępnego ładowania HSTS używanej przez Chrome i inne przeglądarki, Twoja witryna musi spełniać następujące wymagania:

  1. Podaj ważny certyfikat SSL.
  2. Przekieruj z HTTP na HTTPS na tym samym hoście, jeśli nasłuchujesz na porcie 80.
  3. Podaj wszystkie subdomeny przez HTTPS. W szczególności musisz obsługiwać HTTPS dla www.subdomain jeśli istnieje rekord DNS dla tej poddomeny.
  4. Podaj nagłówek HSTS w domenie podstawowej dla żądań HTTPS:
    • Maksymalny wiek musi wynosić co najmniej 31536000 sekund (1 rok).
    • Dyrektywa includeSubDomains musi zostać określona.
    • Dyrektywa obciążenia wstępnego musi zostać określona.
    • Jeśli udostępniasz dodatkowe przekierowanie z witryny HTTPS, przekierowanie to musi nadal zawierać nagłówek HSTS (zamiast strony, na którą przekierowuje).

Jeśli chcesz dodać swoją witrynę do listy wstępnego ładowania HSTS, upewnij się, że dodałeś wymagane wstępne ładowanie etykietka. The “wstępne ładowanie” opcja oznacza, że ​​chcesz dodać swoją stronę do listy wstępnego ładowania Chrome HSTS. Nagłówek odpowiedzi w .htaccess powinien wyglądać następująco:

Ścisłe bezpieczeństwo transportu: maksymalny wiek = 63072000; includeSubDomains; wstępne ładowanie

Zalecamy dodanie witryny do hstspreload.org. Wymagania są dość łatwe do spełnienia, a to pomoże chronić użytkowników Twojej witryny i potencjalnie poprawi jej pozycję w wyszukiwarkach. Jak działają wyszukiwarki? Jak działają wyszukiwarki? Dla wielu osób Google jest internetem. Jest to prawdopodobnie najważniejszy wynalazek od samego Internetu. Chociaż od tego czasu wyszukiwarki wiele się zmieniły, podstawowe zasady są nadal takie same. .




Jeszcze bez komentarzy

Jak zmienić nazwę na Facebooku
Media społecznościowe
Media społecznościowe kontra nuda Nigdy więcej nie marnuj czasu
Media społecznościowe
Jak odłączyć konto na Instagramie od Facebooka
Media społecznościowe
O nowoczesnej technologii, prostej i niedrogiej.
Twój przewodnik w świecie nowoczesnych technologii. Dowiedz się, jak korzystać z technologii i gadżetów, które nas otaczają każdego dnia i dowiedz się, jak odkrywać ciekawe rzeczy w Internecie.