Краткое описание поддержки HSTS в современных браузерах
Posted: Thu Dec 26, 2024 8:39 am
HTTP Strict Transport Security (HSTS) — это политика веб-безопасности, предназначенная для защиты защищенных HTTPS-сайтов от атак с понижением версии, которые используются для выполнения атак типа «человек посередине». «Как только поддерживаемый браузер получит этот заголовок, он предотвратит отправку любых сообщений через HTTP в указанный домен и вместо этого будет отправлять все сообщения через HTTPS. Это также предотвращает появление подсказок по HTTPS в браузерах»[1].
Поддержка HSTS
Атака понижения в йти, когда пользователь Армения Telegram Лидер запрашивает веб-сайт по HTTP. Когда пользователь запрашивает URL-адрес HTTPS://, сервер перенаправляет пользователя на безопасный URL-адрес HTTPS://. Без HSTS злоумышленник в той же сети может помешать пользователю использовать версию сайта HTTPS и заставить пользователя использовать версию HTTP, где злоумышленник может контролировать данные пользователя и перехватывать сеанс пользователя.
Атака с удалением HTTPS, связанная с неиспользованием политики HSTS, может быть осуществлена с помощью инструментов с открытым исходным кодом, таких как SSLStrip от Moxie Marlinspike. Инструмент был публично выпущен в феврале 2009 года, и с тех пор многие браузеры и веб-сайты устранили проблему.
Предотвратить проблему следует с двух сторон: сайта и клиента. Веб-сайт, который уже использует HTTPS, должен применить политику HSTS, чтобы предотвратить атаку. Клиент должен использовать обновленную версию, поддерживающую политику HSTS.
Поддержка HSTS
Атака понижения в йти, когда пользователь Армения Telegram Лидер запрашивает веб-сайт по HTTP. Когда пользователь запрашивает URL-адрес HTTPS://, сервер перенаправляет пользователя на безопасный URL-адрес HTTPS://. Без HSTS злоумышленник в той же сети может помешать пользователю использовать версию сайта HTTPS и заставить пользователя использовать версию HTTP, где злоумышленник может контролировать данные пользователя и перехватывать сеанс пользователя.
Атака с удалением HTTPS, связанная с неиспользованием политики HSTS, может быть осуществлена с помощью инструментов с открытым исходным кодом, таких как SSLStrip от Moxie Marlinspike. Инструмент был публично выпущен в феврале 2009 года, и с тех пор многие браузеры и веб-сайты устранили проблему.
Предотвратить проблему следует с двух сторон: сайта и клиента. Веб-сайт, который уже использует HTTPS, должен применить политику HSTS, чтобы предотвратить атаку. Клиент должен использовать обновленную версию, поддерживающую политику HSTS.