Мастерство экспресс-доставки: путь к быстрому и надежному перемещению грузов
Логистическая компания "Планета" не просто предоставляет услуги экспресс-доставки по России, здесь она переплетает

Офисные столы: виды, материалы и особенности выбора
Офисные столы являются одним из основных элементов любого рабочего пространства. Они не только служат местом для

Теплообменники для отопления
Теплообменники для отопления являются важной составляющей системы отопления в жилых и промышленных помещениях.

Самый эффективный инструмент для узнаваемости бренда
В мире, насыщенном информацией, борьба за внимание потребителей становится все более жесткой для брендов. В такой

Как выбрать идеальный смартфон в интернет-магазине Мелитополя
Смартфон — это многофункциональное устройство, которое стало неотъемлемой частью жизни современного человека. Он

Вешалка в интерьере: сочетание практичности и стиля
В мире дизайна интерьера даже самые незначительные детали могут играть ключевую роль в создании атмосферы и

Плитка для ванной комнаты
Выбор плитки для ванной комнаты – это ключевой момент в процессе ремонта. От ее качества, цвета и текстуры зависит

Почему мы откладываем задачи и как найти внутреннюю мотивацию
Что мешает достижению целей и эффективному управлению временем: чаще всего это прокрастинация и отсутствие

ВИДЕОГАЛЕРЕЯ

Фрезерные станки Zenitech DF для обработки изделий из древесины

HSTS

Статьи

HSTS (сокр. от англ. HTTP Strict Transport Security) — механизм, принудительно активирующий защищённое соединение через протокол HTTPS. Данная политика безопасности позволяет сразу же устанавливать безопасное соединение вместо использования HTTP-протокола. Механизм использует особый заголовок Strict-Transport-Security для принудительного использования браузером протокола HTTPS даже в случае перехода по ссылкам с явным указанием протокола HTTP (http://). Механизм описан в RFC6797 в ноябре 2012 года.

HSTS помогает предотвратить часть атак, направленных на перехват соединения между пользователем и веб-сайтом, в частности атаку с понижением степени защиты и угон куки (cookie).

Дополнительную защиту https-соединений предоставляют методы Certificate pinning (хранение списка разрешенных для домена сертификатов или CA в исходных текстах браузера) и HTTP Public Key Pinning. Они предотвращают множество возможностей подмены tls-сертификатов https-сервера.

Спецификация

Спецификация была разработана и предложена Джеффом Оджом (=JeffH, Paypal), Адамом Бартом (Университет Беркли), Колином Джексоном (Университет Карнеги — Меллон). После обсуждения в рабочей группе IETF WebSec спецификация была принята в качестве RFC 19 ноября 2012 года.

Механизм

Сервер сообщает о политиках HSTS с помощью специального заголовка при подключении через шифрованный HTTPS (заголовок HSTS при подключении по нешифрованному HTTP игнорируется). Например, сервера Википедии посылают заголовок HSTS со сроком действия 1 год, распространяющийся на все поддомены (Поле max-age указывает срок действия в секундах, величина 31536000 приблизительно соответствует одному году): Strict-Transport-Security: max-age=31536000; includeSubDomains; preload.

Когда сайт применяет политику HSTS, пользовательские браузеры, корректно воспринимающие заголовок HSTS, должны:

Автоматически автономно преобразовывать все http-ссылки на данный сайт в https-ссылки. (Например, вместо http://ru.wikipedia.org/wiki/HSTS браузер будет использовать https://ru.wikipedia.org/wiki/HSTS, преобразование произойдет до реального обращения к серверу.)

Если безопасность соединения https не может быть проверена (в частности, если TLS-сертификат сервера не подписан доверенным ключом), будет показано сообщение об ошибке, и пользователь будет лишен доступа к сайту.

Действующие политики HSTS помогают защитить пользователей сайта от части пассивных и активных атак. Атаки класса MiTM значительно усложняются.

Статический список HSTS

Исходный вариант HSTS не защищает первое подключение пользователя к сайту. Злоумышленник может легко перехватить первое подключение, если оно происходит по протоколу http. Для борьбы с этой проблемой большинство современных браузеров использует дополнительный статический список сайтов (HSTS preload list), требующих использования протокола https. Такой список составляется авторами Google Chrome/Chromium с 2010 года, на базе него составляются подобные списки для браузеров Microsoft (Edge и Internet Explorer, с 2015 года), Safari и в Mozilla Firefox (с 2012 года). В подобный список по запросу включаются сайты, использующие HSTS-заголовок с максимальным сроком и флагом preload, и не планирующие отказ от https, однако технология плохо масштабируется.

По состоянию на конец 2014 года, в статическом списке находилось более тысячи доменов, из них около четверти — домены Google.

Использование

На клиентской стороне
- Chromium 4 и все браузеры на его основе.
- Firefox 4
- NoScript
На стороне сайта (все перечисленные включены в HSTS preload list):
- Google
- Викия
- PayPal
- Википедия
- Twitter