HSTS

Versiunea actuală a paginii nu a fost încă examinată de colaboratori experimentați și poate diferi semnificativ de versiunea revizuită pe 28 mai 2022; verificarea necesită 1 editare .

HSTS (abreviat din engleză  HTTP Strict Transport Security ) este un mecanism care activează forțat o conexiune securizată prin protocolul HTTPS . Această politică de securitate vă permite să stabiliți imediat o conexiune sigură în loc să utilizați protocolul HTTP. Mecanismul folosește un antet Strict-Transport-Security special pentru a forța browserul să utilizeze protocolul HTTPS chiar și atunci când urmăresc linkuri care specifică în mod explicit protocolul HTTP ( http:// ). Mecanismul este descris în RFC6797 în noiembrie 2012.

HSTS ajută la prevenirea unora dintre atacurile care vizează interceptarea conexiunii dintre utilizator și site-ul web, în ​​special atacul cu scăderea gradului de protecție și furtul cookie-urilor (cookie-uri) .

Protecție suplimentară pentru conexiunile https este oferită de metodele de fixare a certificatelor (stocarea unei liste de certificate sau CA permise pentru un domeniu în codul sursă al browserului) și Fixarea cheii publice HTTP . Acestea împiedică multe posibilități de falsificare a certificatelor tls ale serverului https.

Specificație

Specificația a fost dezvoltată și propusă de Jeff Odge (=JeffH, Paypal ), Adam Barth ( UC Berkeley ), Colin Jackson ( Universitatea Carnegie Mellon ). După discuții în grupul de lucru IETF WebSec, specificația a fost acceptată ca RFC pe 19 noiembrie 2012.

Mecanism

Serverul comunică politicile HSTS cu un antet special atunci când se conectează prin HTTPS criptat (antetul HSTS este ignorat când se conectează prin HTTP necriptat) [1] . De exemplu, serverele Wikipedia trimit un antet HSTS cu o perioadă de valabilitate de 1 an care se propagă la toate subdomeniile (câmpul max-age indică perioada de valabilitate în secunde, valoarea 31536000 corespunde cu aproximativ un an): Strict-Transport-Security: max-age=31536000; includeSubDomains; preload.

Când un site aplică o politică HSTS, browserele utilizatorilor care înțeleg corect antetul HSTS ar trebui să [2] :

  1. Convertiți automat toate linkurile http către acest site în linkuri https offline. (De exemplu, în loc de http://ru.wikipedia.org/wiki/HSTS , browserul va folosi https://ru.wikipedia.org/wiki/HSTS , conversia va avea loc înainte ca serverul să fie contactat efectiv.)
  2. Dacă securitatea conexiunii https nu poate fi verificată (în special dacă TLS - certificatul serverului nu este semnat cu o cheie de încredere), va fi afișat un mesaj de eroare și utilizatorului i se va refuza accesul la site [3] .

Politicile HSTS în vigoare ajută la protejarea utilizatorilor site-ului atât împotriva atacurilor pasive, cât și a celor active [4] . Atacurile MiTM devin mult mai dificile.

Lista statică a HSTS

Versiunea originală a HSTS nu protejează prima conexiune a unui utilizator la un site. Un atacator poate intercepta cu ușurință prima conexiune dacă este peste http. Pentru a combate această problemă, majoritatea browserelor moderne folosesc o listă statică suplimentară de site-uri ( lista de preîncărcare HSTS ) care necesită utilizarea protocolului https. O astfel de listă a fost întocmită de autorii Google Chrome / Chromium din 2010 [5] [6] , pe baza căreia se întocmesc liste similare pentru browserele Microsoft (Edge și Internet Explorer , din 2015) [7] , Safari [8] și Mozilla Firefox (din 2012) [9] . O astfel de listă, la cerere, include site-uri care utilizează antetul HSTS cu termen maxim și flag de preîncărcare și nu intenționează să abandoneze https [9] , dar tehnologia nu se scalează bine [8] .

La sfârșitul anului 2014, în lista statică erau peste o mie de domenii, aproximativ un sfert dintre ele erau domenii Google [10] .

Utilizare

Urmărire cu HSTS

HSTS poate fi folosit pentru a suprima din greu browserele cu etichete foarte persistente (vezi și Supercookies ), indiferent de utilizarea modului incognito. [cincisprezece]

Browserul Mozilla Firefox din versiunea 85 oferă instrumente anti-urmărire bazate pe cache HSTS [16] .

Vezi și

Note

  1. HTTP Strict Transport Security . Rețeaua de dezvoltatori Mozilla . Preluat la 12 iunie 2015. Arhivat din original la 18 martie 2014.
  2. Hodges, Jeff; Jackson, Collins; Barth, Adam. Secțiunea 5. Prezentare generală a mecanismului HSTS . RFC 6797 . IETF (noiembrie 2012). Consultat la 21 noiembrie 2012. Arhivat din original la 26 februarie 2020.
  3. Hodges, Jeff; Jackson, Collins; Barth, Adam. Secțiunea 12.1. Fără recurs pentru utilizator . RFC 6797 . IETF (noiembrie 2012). Preluat la 30 iunie 2014. Arhivat din original la 26 februarie 2020.
  4. Hodges, Jeff; Jackson, Collins; Barth, Adam. 2.3. Modelul de amenințare . RFC 6797 . IETF (noiembrie 2012). Consultat la 21 noiembrie 2012. Arhivat din original la 26 februarie 2020.
  5. HSTS Arhivat 3 aprilie 2018 pe Wayback Machine / Chromium - Site-uri HSTS preîncărcate
  6. https://hstspreload.appspot.com/ Arhivat pe 7 februarie 2015 la Wayback Machine Acest formular este folosit pentru a trimite domenii pentru a fi incluse în lista de preîncărcare HTTP Strict Transport Security (HSTS) a Chrome.
  7. HTTP Strict Transport Security vine în Internet Explorer 11 pe Windows 8.1 și Windows 7 Arhivat 27 noiembrie 2019 pe Wayback Machine / Blog Microsoft Enge, 09-06-2015
  8. 12 Preîncărcare HSTS . Consultat la 17 septembrie 2015. Arhivat din original la 3 aprilie 2018.
  9. 1 2 Preîncărcarea HSTS Arhivată 24 februarie 2020 la Wayback Machine / Blogul de securitate Mozilla, 2012
  10. Upgrading HTTPS in Mid-Air: An Empirical Study of Strict Transport Security and Key Pinning Arhivat 4 martie 2016 la Wayback Machine / NDSS '15, 8-11 februarie 2015 // Internet Society, ISBN 1-891562-38-X doi:10.14722/  ndss.2015.23162
  11. Adam Barth. Securitate în profunzime: noi funcții de securitate  (engleză)  (link nu este disponibil) . Chromium Blog (26 ianuarie 2010). Consultat la 19 noiembrie 2010. Arhivat din original la 13 august 2011.
  12. Sid Stamm. HTTP Strict Transport Security a aterizat!  (engleză)  (link indisponibil) (26 august 2010). Consultat la 19 noiembrie 2010. Arhivat din original pe 4 iulie 2012.
  13. George. Strict Transport Security în NoScript  (engleză)  (link indisponibil) (23 septembrie 2009). Consultat la 19 noiembrie 2010. Arhivat din original pe 4 iulie 2012.
  14. Site-uri HSTS preîncărcate Arhivate 18 februarie 2020 la Wayback Machine / Chromium
  15. Super cookie-ul HSTS care te obligă să alegi: „confidențialitate sau securitate?” - . sophos.com . Preluat la 1 decembrie 2015. Arhivat din original la 11 februarie 2020.
  16. Firefox 85 dă jos supercookies - Blogul de securitate Mozilla - . mozilla.org . Consultat la 19 februarie 2021. Arhivat din original pe 3 februarie 2021.

Link -uri