Startseite Bezpečnostní Co je to HSTS a jak chrání HTTPS před hackery?

Co je to HSTS a jak chrání HTTPS před hackery?

  • Edmund Richardson
  • 0
  • 2621
  • 387
reklama

Možná jste se ujistili, že vaše webové stránky mají povolen protokol SSL a pěkný bezpečnostní zámek v prohlížeči je zelený. Možná jste však zapomněli na malého bezpečnostního muže HTTP, HTTP Strict Transport Security (HSTS).

Co je to HSTS a jak může přispět k zabezpečení vašeho webu?

Co je HTTPS?

Zabezpečený protokol HTTPS (Hyper Text Transfer Protocol Secure) je zabezpečená verze webu (HTTP). Šifrování je povoleno pomocí protokolu SSL (Secure Sockets Layer) a je ověřeno pomocí certifikátu SSL. Při připojení k webu HTTPS jsou informace přenášené mezi webem a uživatelem šifrovány.

Toto šifrování pomáhá chránit vás před krádeží dat pomocí útoků typu MITM (Man-in-the-Middle-Attacks). Přidaná vrstva zabezpečení také mírně pomáhá zlepšit pověst vašeho webu Demystify SEO: 5 průvodců optimalizace pro vyhledávače, které vám pomohou začít Demystify SEO: 5 průvodců optimalizace pro vyhledávače, které vám pomohou začít Zvládnutí vyhledávače vyžaduje znalosti, zkušenosti a spoustu pokusů a chyba. Můžete se začít učit základy a snadno se vyhnout běžným chybám SEO pomocí mnoha průvodců SEO dostupných na webu. . Ve skutečnosti je přidání certifikátu SSL tak snadné, že ho mnoho webových hostitelů ve výchozím nastavení přidá na váš web zdarma! To znamená, že HTTPS má stále některé nedostatky, které HSTS může pomoci opravit.

Co je to HSTS?

HSTS je záhlaví odpovědí, které informuje prohlížeč, že k povoleným webům lze přistupovat pouze přes HTTPS. Váš prohlížeč tak bude moci přistupovat pouze k verzi HTTPS na webu a ke všem zdrojům na něm.

Možná si neuvědomujete, že i když jste správně nastavili certifikát SSL a povolili pro svůj web protokol HTTPS, je verze HTTP stále k dispozici. To platí i v případě, že jste nastavili přeposílání pomocí 301 permanentního přesměrování.

Přestože zásady HSTS již nějakou dobu existují, společnost Google je oficiálně zavedla teprve v červenci 2016. To může být důvod, proč jste o nich ještě moc neslyšeli..

Povolení HSTS zastaví útoky protokolů SSL a únos souborů cookie. Co je to cookie a co to souvisí s mým soukromí? [MakeUseOf vysvětluje] Co je to cookie a co to má společného s mým soukromí? [MakeUseOf vysvětluje] Většina lidí ví, že jsou soubory cookie rozptýlené po celém internetu, připravené a ochotné je sníst kdokoli, kdo je najde jako první. Počkej co? To nemůže být pravda. Ano, na webech s podporou SSL existují soubory cookie… dvě další chyby zabezpečení. A kromě toho, aby byl web bezpečnější, HSTS zrychlí načítání stránek odstraněním kroku v postupu načítání.

Co je to SSL stripping?

Ačkoli HTTPS je obrovským vylepšením HTTP, není nezranitelné být napaden hackerem. SSL stripping je velmi běžný hacker MITM pro webové stránky, které pomocí přesměrování odesílají uživatele z HTTP na verzi HTTPS na svých webových stránkách.

301 (trvalé) a 302 (dočasné) přesměrování funguje v podstatě takto:

  1. Typy uživatelů google.com v adresním řádku prohlížeče.
  2. Prohlížeč se nejprve pokusí načíst http://google.com jako výchozí.
  3. “Google.com” je nastaven s trvalým přesměrováním 301 na https://google.com.
  4. Prohlížeč vidí přesměrování a načte se https://google.com místo toho.

S odstraňováním SSL může hacker použít čas mezi krokem 3 a krokem 4 k zablokování požadavku na přesměrování a zastavení prohlížeče v načítání zabezpečené (HTTPS) verze webu. Jakmile přistupujete k nezašifrované verzi webových stránek, mohou být všechna zadaná data odcizena.

Hacker vás také může přesměrovat na kopii webu, ke kterému se pokoušíte přistupovat, a zachytit všechna vaše data, jakmile je zadáte, i když to vypadá bezpečně.

Google implementoval v prohlížeči Chrome kroky k zastavení některých typů přesměrování. Povolení HSTS by však mělo být od nynějška ve výchozím nastavení pro všechny vaše webové stránky.

Jak povolení HSTS zastaví odstraňování SSL?

Povolení HSTS přinutí prohlížeč načíst zabezpečenou verzi webu a ignoruje přesměrování a jakékoli jiné volání k otevření připojení HTTP. Tím se uzavírá chyba zabezpečení přesměrování, která existuje s přesměrováním 301 a 302.

Existuje dokonce záporná stránka i pro HSTS, a to znamená, že prohlížeč uživatele musí vidět záhlaví HSTS alespoň jednou, než ji může využít pro budoucí návštěvy. To znamená, že budou muset alespoň jednou projít procesem HTTP> HTTPS a nechat je tak zranitelní při první návštěvě webu podporujícího HSTS..

Aby se tomu zabránilo, Chrome předem načte seznam webů, které mají povolený HSTS. Uživatelé mohou odesílat webové stránky s povoleným HSTS do seznamu předběžného načítání, pokud splňují požadovaná (jednoduchá) kritéria.

Webové stránky přidané do tohoto seznamu budou pevně zakódovány do budoucích verzí aktualizací prohlížeče Chrome. Zajišťuje, že každý, kdo navštíví vaše webové stránky podporující HSTS v aktualizovaných verzích prohlížeče Chrome, zůstane v bezpečí.

Firefox, Opera, Safari a Internet Explorer mají svůj vlastní seznam předvoleb HSTS, ale jsou založeny na seznamu Chrome na hstspreload.org.

Jak povolit HSTS na vašem webu

Chcete-li na svém webu povolit HSTS, musíte nejprve mít platný certifikát SSL. 7 důvodů, proč váš web potřebuje certifikát SSL 7 důvodů, proč váš web potřebuje certifikát SSL Nezáleží na tom, zda vyvíjíte skromný blog nebo plný elektronický obchod web: potřebujete certifikát SSL. Zde je několik praktických důvodů. . Pokud povolíte HSTS bez jednoho, váš web nebude k dispozici žádnému návštěvníkovi, proto se ujistěte, že váš web a subdomény fungují přes HTTPS, než budete pokračovat.

Povolení HSTS je docela snadné. Stačí jednoduše přidat záhlaví do souboru .htaccess na vašem webu. Záhlaví, které musíte přidat, je:

Přísné zabezpečení dopravy: max-age = 31536000; includeSubDomains

Tímto se přidá přístupový soubor cookie s maximálním věkem pro přístup na jeden rok (co je to soubor cookie? Soubory cookie nejsou všechny špatné: 6 důvodů, proč je nechat ve svém prohlížeči povoleny Soubory cookie nejsou všechny špatné: 6 důvodů, proč je nechat povoleny ve vašem prohlížeči Jsou soubory cookie opravdu jsou tak špatní? Ohrožují vaši bezpečnost a soukromí, nebo existují dobré důvody pro povolení souborů cookie?), které zahrnují váš web a jakékoli subdomény. Jakmile prohlížeč vstoupí na web, nebude mít přístup na nezabezpečenou verzi HTTP webu na rok. Ujistěte se, že všechny subdomény v této doméně jsou zahrnuty v certifikátu SSL a povolte HTTPS. Pokud na to zapomenete, subdomény nebudou po uložení souboru .htaccess přístupné.

Webové stránky, které chybí includeSubDomains Tato možnost může vystavit návštěvníky únikům do soukromí povolením subdomén manipulovat s cookies. S includeSubDomains povoleny, tyto útoky související s cookies nebudou možné.

Poznámka: Před přidáním jednoletého maximálního věku vyzkoušejte nejprve celý svůj web pomocí pětiminutového maximálního věku pomocí: max-age = 300;

Google dokonce doporučuje, abyste vyzkoušeli svůj web a jeho výkon (provoz) s jedním týdnem a také s měsíční hodnotou před implementací dvouletého maximálního věku.

Pět minut: přísné zabezpečení dopravy: max-age = 300; includeSubDomains Jeden týden: Strict-Transport-Security: max-age = 604800; includeSubDomains Jeden měsíc: Strict-Transport-Security: max-age = 2592000; includeSubDomains

Vytvoření seznamu předpětí HSTS

Nyní byste měli být obeznámeni s HSTS a proč je důležité, aby jej váš web používal. Klíčovým prvkem plánu webu by mělo být zajištění bezpečnosti návštěvníků vašeho webu online.

Aby byl váš web způsobilý pro seznam předpětí HSTS, který Chrome a další prohlížeče používají, musí splňovat následující požadavky:

  1. Obsluhujte platný certifikát SSL.
  2. Přesměrujte z HTTP na HTTPS na stejném hostiteli, pokud posloucháte na portu 80.
  3. Poskytujte všechny subdomény přes HTTPS. Zejména musíte pro HTTPS podporovat www.subdomain pokud existuje záznam DNS pro tuto subdoménu.
  4. Poskytujte záhlaví HSTS v základní doméně pro požadavky HTTPS:
    • Maximální věk musí být nejméně 31536000 sekund (1 rok).
    • Musí být zadána směrnice includeSubDomains.
    • Směrnice o předpětí musí být specifikována.
    • Pokud poskytujete další přesměrování z webu HTTPS, musí toto přesměrování stále obsahovat záhlaví HSTS (místo stránky, na kterou přesměruje).

Pokud chcete přidat svůj web do seznamu předpětí HSTS, nezapomeňte přidat požadované předem načíst štítek. “předem načíst” znamená, že chcete, aby byl váš web přidán do seznamu předběžného načtení HSTS prohlížeče Chrome. Záhlaví odpovědi v .htaccess by pak mělo vypadat takto:

Přísné zabezpečení dopravy: max-age = 63072000; includeSubDomains; předem načíst

Doporučujeme přidat svůj web na stránku hstspreload.org. Splnění těchto požadavků je velmi snadné a pomůže chránit návštěvníky vašeho webu a potenciálně zlepšit hodnocení vyhledávače vašeho webu Jak fungují vyhledávače? Jak fungují vyhledávače? Pro mnoho lidí je Google internet. Je to pravděpodobně nejdůležitější vynález od samotného internetu. A zatímco se vyhledávače od té doby hodně změnily, základní principy jsou stále stejné. .




Bisher hat noch niemand einen Kommentar zu diesem Artikel abgegeben.

Proč váš prst nikdy nenahradí pero vyvracející Satya Nadella
Vysvětlená technologie
Co je to SSL certifikát a potřebujete jej?
Vysvětlená technologie
Jargon Buster Průvodce porozuměním mobilním procesorům
Vysvětlená technologie
O moderní technologii, jednoduché a cenově dostupné.
Váš průvodce ve světě moderních technologií. Naučte se, jak používat technologie a pomůcky, které nás každý den obklopují, a naučte se, jak objevovat na internetu zajímavé věci.