HSTS
Kokeneet kirjoittajat eivät ole vielä tarkistaneet sivun nykyistä versiota, ja se voi poiketa merkittävästi 28.5.2022 tarkistetusta
versiosta . vahvistus vaatii
1 muokkauksen .
HSTS (lyhennetty englanniksi HTTP Strict Transport Security ) on mekanismi, joka pakottaa aktivoimaan suojatun yhteyden HTTPS-protokollan kautta . Tämän suojauskäytännön avulla voit muodostaa välittömästi suojatun yhteyden HTTP-protokollan käyttämisen sijaan. Mekanismi käyttää erityistä otsikkoa Strict-Transport-Security pakottaakseen selaimen käyttämään HTTPS-protokollaa, vaikka se seuraa linkkejä, jotka nimenomaisesti määrittävät HTTP-protokollan ( http:// ). Mekanismi on kuvattu RFC6797:ssä marraskuussa 2012.
HSTS auttaa estämään joitain hyökkäyksiä, joilla pyritään kaappaamaan yhteys käyttäjän ja verkkosivuston välillä, erityisesti suojausasteen alentamiseen liittyviä hyökkäyksiä ja evästeiden (evästeiden) varkauksia .
Lisäsuojausta https-yhteyksille tarjoavat sertifikaatin kiinnitysmenetelmät (jossa tallennetaan luettelo verkkotunnukselle sallituista varmenteista tai CA :ista selaimen lähdekoodiin) ja HTTP-julkisen avaimen kiinnitys . Ne estävät monet mahdollisuudet huijata https-palvelimen tls-varmenteita.
Tekniset tiedot
Spesifikaation ovat kehittäneet ja ehdottaneet Jeff Odge (=JeffH, Paypal ), Adam Barth ( UC Berkeley ), Colin Jackson ( Carnegie Mellon University ). IETF WebSec Working Groupissa käytyjen keskustelujen jälkeen spesifikaatio hyväksyttiin RFC:ksi 19. marraskuuta 2012.
Mekanismi
Palvelin välittää HSTS-käytännöt erityisellä otsikolla, kun se muodostaa yhteyden salatun HTTPS:n kautta (HSTS-otsikko jätetään huomioimatta, kun muodostetaan yhteys salaamattoman HTTP:n kautta) [1] . Esimerkiksi Wikipedia-palvelimet lähettävät HSTS-otsikon, jonka voimassaoloaika on yksi vuosi ja joka leviää kaikkiin aliverkkotunnuksiin (max-age -kenttä osoittaa voimassaoloajan sekunneissa, arvo 31536000 vastaa noin vuotta): Strict-Transport-Security: max-age=31536000; includeSubDomains; preload.
Kun sivusto pakottaa HSTS-käytännön, käyttäjäselaimien, jotka ymmärtävät HSTS-otsikon oikein, tulisi [2] :
- Muunna kaikki tämän sivuston http-linkit automaattisesti https-linkeiksi offline-tilassa. (Esimerkiksi osoitteen http://ru.wikipedia.org/wiki/HSTS sijaan selain käyttää https://ru.wikipedia.org/wiki/HSTS , muunnos tapahtuu ennen kuin palvelimeen todella otetaan yhteyttä.)
- Jos https-yhteyden turvallisuutta ei voida varmistaa (etenkin jos TLS - palvelimen varmenne ei ole allekirjoitettu luotettavalla avaimella), näytetään virheilmoitus ja käyttäjältä estetään pääsy sivustolle [3] .
Käytössä olevat HSTS-käytännöt auttavat suojaamaan sivuston käyttäjiä sekä passiivisilta että aktiivisilta hyökkäyksiltä [4] . MiTM- hyökkäykset muuttuvat paljon vaikeammiksi.
Staattinen luettelo HSTS:stä
HSTS:n alkuperäinen versio ei suojaa käyttäjän ensimmäistä yhteyttä sivustoon. Hyökkääjä voi helposti siepata ensimmäisen yhteyden, jos se on yli http. Tämän ongelman torjumiseksi useimmat nykyaikaiset selaimet käyttävät ylimääräistä staattista luetteloa sivustoista ( HSTS preload list ), jotka vaativat https-protokollan käytön. Tällaista listaa ovat koonneet Google Chrome / Chromiumin kirjoittajat vuodesta 2010 [5] [6] , jonka perusteella laaditaan vastaavia listoja Microsoftin selaimille (Edge ja Internet Explorer , vuodesta 2015) [7] , Safari [8] ja Mozilla Firefox (vuodesta 2012) [9] . Tällainen luettelo sisältää pyynnöstä sivustot, jotka käyttävät HSTS-otsikkoa maksimitermillä ja esilatauslipulla eivätkä aio luopua https:stä [9] , mutta tekniikka ei skaalaudu hyvin [8] .
Vuoden 2014 lopussa staattisella listalla oli yli tuhat verkkotunnusta, joista noin neljännes oli Googlen verkkotunnuksia [10] .
Käyttö
- Asiakkaan puolella
- Sivuston puolella (kaikki luettelot sisältyvät HSTS -esilatausluetteloon ) [14] :
Seuranta HSTS:llä
HSTS:ää voidaan käyttää erittäin pysyvien tunnisteiden (katso myös superevästeet ) poistamiseen selaimet incognito-tilan käytöstä riippumatta. [viisitoista]
Mozilla Firefox -selain versiosta 85 lähtien tarjoaa HSTS-välimuistiin perustuvia seurantatyökaluja [16] .
Katso myös
Muistiinpanot
- ↑ HTTP Strict Transport Security . Mozilla Developer Network . Haettu 12. kesäkuuta 2015. Arkistoitu alkuperäisestä 18. maaliskuuta 2014. (määrätön)
- ↑ Hodges, Jeff; Jackson, Collin; Barth, Adam. Osa 5. HSTS-mekanismin yleiskatsaus . RFC 6797 . IETF (marraskuu 2012). Haettu 21. marraskuuta 2012. Arkistoitu alkuperäisestä 26. helmikuuta 2020. (määrätön)
- ↑ Hodges, Jeff; Jackson, Collin; Barth, Adam. Kohta 12.1. Ei käyttäjiä . RFC 6797 . IETF (marraskuu 2012). Haettu 30. kesäkuuta 2014. Arkistoitu alkuperäisestä 26. helmikuuta 2020. (määrätön)
- ↑ Hodges, Jeff; Jackson, Collin; Barth, Adam. 2.3. Uhkamalli . RFC 6797 . IETF (marraskuu 2012). Haettu 21. marraskuuta 2012. Arkistoitu alkuperäisestä 26. helmikuuta 2020. (määrätön)
- ↑ HSTS arkistoitu 3. huhtikuuta 2018 Wayback Machinessa / Chromiumissa - esiladatut HSTS-sivustot
- ↑ https://hstspreload.appspot.com/ Arkistoitu 7. helmikuuta 2015 Wayback Machinessa Tätä lomaketta käytetään verkkotunnusten lähettämiseen Chromen HTTP Strict Transport Securityn (HSTS) esilatausluetteloon sisällytettäviksi.
- ↑ HTTP Strict Transport Security tulee Internet Explorer 11:een Windows 8.1:ssä ja Windows 7 :ssä. Arkistoitu 27. marraskuuta 2019 Wayback Machinessa / Microsoft Enge Blogissa, 2015-06-09
- ↑ 12 HSTS- esilataus . Haettu 17. syyskuuta 2015. Arkistoitu alkuperäisestä 3. huhtikuuta 2018. (määrätön)
- ↑ 1 2 HSTS :n esilataus Arkistoitu 24. helmikuuta 2020 Wayback Machinessa / Mozilla Security Blog, 2012
- ↑ HTTPS:n päivittäminen ilmassa: Empiirinen tutkimus tiukasta kuljetusturvasta ja avainten kiinnittämisestä arkistoitu 4. maaliskuuta 2016 Wayback Machinessa / NDSS '15, 8.-11. helmikuuta 2015 // Internet Society, ISBN 1-891562-38-X doi:10.14722/ ndss.2015.23162
- ↑ Adam Barth. Tietoturva perusteellisesti: uudet suojausominaisuudet (englanniksi) (linkki ei ole käytettävissä) . Chromium-blogi (26. tammikuuta 2010). Haettu 19. marraskuuta 2010. Arkistoitu alkuperäisestä 13. elokuuta 2011.
- ↑ Sid Stamm. HTTP Strict Transport Security on laskeutunut! (englanniksi) (linkki ei saatavilla) (26. elokuuta 2010). Haettu 19. marraskuuta 2010. Arkistoitu alkuperäisestä 4. heinäkuuta 2012.
- ↑ George. Strict Transport Security in NoScript (englanniksi) (linkki ei saatavilla) (23. syyskuuta 2009). Haettu 19. marraskuuta 2010. Arkistoitu alkuperäisestä 4. heinäkuuta 2012.
- ↑ Esiladatut HSTS-sivustot arkistoitu 18. helmikuuta 2020 Wayback Machinessa / Chromiumissa
- ↑ HSTS-supereväste pakottaa sinut valitsemaan: "yksityisyys vai turvallisuus?" - . sophos.com . Haettu 1. joulukuuta 2015. Arkistoitu alkuperäisestä 11. helmikuuta 2020. (määrätön)
- ↑ Firefox 85 kaatuu superevästeisiin - Mozilla Security -blogi - . mozilla.org . Haettu 19. helmikuuta 2021. Arkistoitu alkuperäisestä 3. helmikuuta 2021. (määrätön)
Linkit