Azərbaycanca AzərbaycancaБеларускі БеларускіDansk DanskDeutsch DeutschEspañola EspañolaFrançais FrançaisIndonesia IndonesiaItaliana Italiana日本語 日本語Қазақ ҚазақLietuvos LietuvosNederlands NederlandsPortuguês PortuguêsРусский Русскийසිංහල සිංහලแบบไทย แบบไทยTürkçe TürkçeУкраїнська Українська中國人 中國人United State United StateAfrikaans Afrikaans
Підтримка
www.wikidata.uk-ua.nina.az

HSTS скор від англ HTTP Strict Transport Security механізм який примусово задіює захищене з єднання через протокол HTTPS

HTTP Strict Transport Security

HTTP Strict Transport Security

HSTS (скор. від англ. HTTP Strict Transport Security) — механізм, який примусово задіює захищене з'єднання через протокол HTTPS. Ця політика безпеки дозволяє відразу ж встановлювати безпечне з'єднання замість використання HTTP-протоколу. Механізм використовує особливий заголовок Strict-Transport-Security для примусового використання браузером протоколу HTTPS навіть у разі переходу по посиланнях з явним зазначенням протоколу HTTP (http://). Механізм специфікований в [rfc:6797 RFC6797] в листопаді 2012 року.

HSTS допомагає запобігти частині атак, спрямованих на перехоплення з'єднання між користувачем і вебсайтом, зокрема атаку з пониженням ступеня захисту і крадіжку реп'яшків.

Додатковий захист https-з'єднань надають методи підколювання сертифікатів (англ. certificate pinning) (зберігання списку дозволених для домену сертифікатів або CA у вихідних текстах браузера) і [en] (небажаний через складність у втіленні). Вони запобігають безліч можливостей підміни tls-сертифікатів https-сервера.

Специфікація

Специфікація була розроблена і запропонована Джеффом Оджом (=JeffH, Paypal), Адамом Бартом (Університет Берклі), Коліном Джексоном (Університет Карнегі — Меллон). Після обговорення в робочій групі IETF WebSec специфікація була прийнята в якості RFC 19 листопада 2012 року.

Механізм

Сервер повідомляє про політику HSTS з допомогою спеціального заголовка при підключенні через зашифрований HTTPS (заголовок HSTS при підключенні по нешифрованному HTTP ігнорується). Наприклад, сервери Вікіпедії посилають заголовок HSTS зі строком дії 1 рік, поширюється на всі піддомени (Поле max-age зазначає строк дії секундах, величина 31536000 приблизно відповідає одному року): Strict-Transport-Security: max-age=31536000; includeSubDomains; preload.

Коли сайт використовує політику HSTS, користувальницькі браузери, котрі коректно сприймають заголовок HSTS, повинні:

  1. Автоматично автономно перетворювати всі http-посилання на даний сайт в https-посилання. (Наприклад, замість http://uk.wikipedia.org/wiki/HSTS браузер буде використовувати https://uk.wikipedia.org/wiki/HSTS перетворення станеться до реального звернення до сервера.)
  2. Якщо безпека з'єднання https не може бути перевірена (зокрема, якщо TLS-сертифікат сервера не підписано довіреною ключем), буде показано повідомлення про помилку, і користувач буде позбавлений доступу до сайту.

Діючі політики HSTS допомагають захистити користувачів сайту від частини пасивних і активних атак. Атаки класу MiTM значно ускладнюються.

Статичний список HSTS

Вихідний варіант HSTS не захищає перше підключення користувача до сайту. Зловмисник може легко перехопити перше підключення, якщо воно відбувається за протоколом http. Для боротьби з цією проблемою більшість сучасних браузерів використовує додатковий статичний список сайтів (HSTS preload list), що вимагають використання протоколу https. Такий список складається авторами Google Chrome/Chromium з 2010 року, на базі нього складаються подібні списки для браузерів Microsoft (Edge і Internet Explorer, з 2015 року), Safari і в Mozilla Firefox (з 2012 року). В подібний список за запитом включаються сайти, що використовують HSTS-заголовок з максимальним терміном і прапором preload, і які не планують відмову від https, однак такий підхід погано масштабується.

Станом на кінець 2014 року, в статичному списку знаходилося більше тисячі доменів, з них близько чверті — домени Google.

Використання

image
Сторінка налагодження HSTS і [en] в браузері Chromium для сайту en.wikipedia.org (до внесення у список HSTS preload, динамічний HSTS; HPKP не застосовується).

Дивись також

Примітки

  1. . Mozilla Developer Network. Архів оригіналу за 18 березня 2014. Процитовано 12 червня 2015.
  2. Hodges, Jeff; Jackson, Collin; Barth, Adam (November 2012). . RFC 6797. IETF. Архів оригіналу за 26 лютого 2020. Процитовано 21 листопада 2012.
  3. Hodges, Jeff; Jackson, Collin; Barth, Adam (November 2012). . RFC 6797. IETF. Архів оригіналу за 26 лютого 2020. Процитовано 30 червня 2014.
  4. Hodges, Jeff; Jackson, Collin; Barth, Adam (November 2012). . RFC 6797. IETF. Архів оригіналу за 26 лютого 2020. Процитовано 21 листопада 2012.
  5. HSTS [ 3 квітня 2018 у Wayback Machine.] / Chromium — Preloaded HSTS sites
  6. https://hstspreload.appspot.com/ [ 7 лютого 2015 у Wayback Machine.] This form is used to submit domains for inclusion in Chrome’s HTTP Strict Transport Security (HSTS) preload list.
  7. HTTP Strict Transport Security comes to Internet Explorer 11 on Windows 8.1 and Windows 7 [ 27 листопада 2019 у Wayback Machine.] / Microsoft Enge Blog, 2015-06-09
  8. . Архів оригіналу за 3 квітня 2018. Процитовано 3 квітня 2018.
  9. Preloading HSTS [ 24 лютого 2020 у Wayback Machine.] / Mozilla Security Blog, 2012
  10. Upgrading HTTPS in Mid-Air: An Empirical Study of Strict Transport Security and Key Pinning [ 4 березень 2016 у Wayback Machine.] / NDSS ’15, 8-11 February 2015 // Internet Society, doi:10.14722/ndss.2015.23162 (англ.)
  11. Adam Barth (26 січня 2010). Security in Depth: New Security Features. Chromium Blog. Архів оригіналу за 13 серпня 2011. Процитовано 19 листопада 2010.
  12. Sid Stamm (26 серпня 2010). HTTP Strict Transport Security has landed!. Архів оригіналу за 4 липня 2012. Процитовано 19 листопада 2010.
  13. Giorgio (23 сентября 2009). Strict Transport Security in NoScript. Архів оригіналу за 4 липня 2012. Процитовано 19 листопада 2010.
  14. Preloaded HSTS sites [ 18 лютого 2020 у Wayback Machine.] / Chromium

Посилання

  • [rfc:6797 Специфікація HTTP Strict Transport Security (HSTS)] RFC 6797, листопад 2012 (англ.)
  • . — NDSS '15, . — . — DOI:10.14722/ndss.2015.23162.

Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет

HSTS skor vid angl HTTP Strict Transport Security mehanizm yakij primusovo zadiyuye zahishene z yednannya cherez protokol HTTPS Cya politika bezpeki dozvolyaye vidrazu zh vstanovlyuvati bezpechne z yednannya zamist vikoristannya HTTP protokolu Mehanizm vikoristovuye osoblivij zagolovok Strict Transport Security dlya primusovogo vikoristannya brauzerom protokolu HTTPS navit u razi perehodu po posilannyah z yavnim zaznachennyam protokolu HTTP http Mehanizm specifikovanij v rfc 6797 RFC6797 v listopadi 2012 roku HSTS dopomagaye zapobigti chastini atak spryamovanih na perehoplennya z yednannya mizh koristuvachem i vebsajtom zokrema ataku z ponizhennyam stupenya zahistu i kradizhku rep yashkiv Dodatkovij zahist https z yednan nadayut metodi pidkolyuvannya sertifikativ angl certificate pinning zberigannya spisku dozvolenih dlya domenu sertifikativ abo CA u vihidnih tekstah brauzera i en nebazhanij cherez skladnist u vtilenni Voni zapobigayut bezlich mozhlivostej pidmini tls sertifikativ https servera SpecifikaciyaSpecifikaciya bula rozroblena i zaproponovana Dzheffom Odzhom JeffH Paypal Adamom Bartom Universitet Berkli Kolinom Dzheksonom Universitet Karnegi Mellon Pislya obgovorennya v robochij grupi IETF WebSec specifikaciya bula prijnyata v yakosti RFC 19 listopada 2012 roku MehanizmServer povidomlyaye pro politiku HSTS z dopomogoyu specialnogo zagolovka pri pidklyuchenni cherez zashifrovanij HTTPS zagolovok HSTS pri pidklyuchenni po neshifrovannomu HTTP ignoruyetsya Napriklad serveri Vikipediyi posilayut zagolovok HSTS zi strokom diyi 1 rik poshiryuyetsya na vsi piddomeni Pole max age zaznachaye strok diyi sekundah velichina 31536000 priblizno vidpovidaye odnomu roku Strict Transport Security max age 31536000 includeSubDomains preload Koli sajt vikoristovuye politiku HSTS koristuvalnicki brauzeri kotri korektno sprijmayut zagolovok HSTS povinni Avtomatichno avtonomno peretvoryuvati vsi http posilannya na danij sajt v https posilannya Napriklad zamist http uk wikipedia org wiki HSTS brauzer bude vikoristovuvati https uk wikipedia org wiki HSTS peretvorennya stanetsya do realnogo zvernennya do servera Yaksho bezpeka z yednannya https ne mozhe buti perevirena zokrema yaksho TLS sertifikat servera ne pidpisano dovirenoyu klyuchem bude pokazano povidomlennya pro pomilku i koristuvach bude pozbavlenij dostupu do sajtu Diyuchi politiki HSTS dopomagayut zahistiti koristuvachiv sajtu vid chastini pasivnih i aktivnih atak Ataki klasu MiTM znachno uskladnyuyutsya Statichnij spisok HSTS Vihidnij variant HSTS ne zahishaye pershe pidklyuchennya koristuvacha do sajtu Zlovmisnik mozhe legko perehopiti pershe pidklyuchennya yaksho vono vidbuvayetsya za protokolom http Dlya borotbi z ciyeyu problemoyu bilshist suchasnih brauzeriv vikoristovuye dodatkovij statichnij spisok sajtiv HSTS preload list sho vimagayut vikoristannya protokolu https Takij spisok skladayetsya avtorami Google Chrome Chromium z 2010 roku na bazi nogo skladayutsya podibni spiski dlya brauzeriv Microsoft Edge i Internet Explorer z 2015 roku Safari i v Mozilla Firefox z 2012 roku V podibnij spisok za zapitom vklyuchayutsya sajti sho vikoristovuyut HSTS zagolovok z maksimalnim terminom i praporom preload i yaki ne planuyut vidmovu vid https odnak takij pidhid pogano masshtabuyetsya Stanom na kinec 2014 roku v statichnomu spisku znahodilosya bilshe tisyachi domeniv z nih blizko chverti domeni Google VikoristannyaStorinka nalagodzhennya HSTS i en v brauzeri Chromium dlya sajtu en wikipedia org do vnesennya u spisok HSTS preload dinamichnij HSTS HPKP ne zastosovuyetsya Na kliyentskij storoni Chromium 4 i vsi brauzeri na jogo osnovi Firefox 4 NoScript Na storoni sajtu vsi pererahovani vklyucheni v HSTS preload list Google PayPal Vikipediya TwitterDivis takozhHTTPS EverywherePrimitki Mozilla Developer Network Arhiv originalu za 18 bereznya 2014 Procitovano 12 chervnya 2015 Hodges Jeff Jackson Collin Barth Adam November 2012 RFC 6797 IETF Arhiv originalu za 26 lyutogo 2020 Procitovano 21 listopada 2012 Hodges Jeff Jackson Collin Barth Adam November 2012 RFC 6797 IETF Arhiv originalu za 26 lyutogo 2020 Procitovano 30 chervnya 2014 Hodges Jeff Jackson Collin Barth Adam November 2012 RFC 6797 IETF Arhiv originalu za 26 lyutogo 2020 Procitovano 21 listopada 2012 HSTS 3 kvitnya 2018 u Wayback Machine Chromium Preloaded HSTS sites https hstspreload appspot com 7 lyutogo 2015 u Wayback Machine This form is used to submit domains for inclusion in Chrome s HTTP Strict Transport Security HSTS preload list HTTP Strict Transport Security comes to Internet Explorer 11 on Windows 8 1 and Windows 7 27 listopada 2019 u Wayback Machine Microsoft Enge Blog 2015 06 09 Arhiv originalu za 3 kvitnya 2018 Procitovano 3 kvitnya 2018 Preloading HSTS 24 lyutogo 2020 u Wayback Machine Mozilla Security Blog 2012 Upgrading HTTPS in Mid Air An Empirical Study of Strict Transport Security and Key Pinning 4 berezen 2016 u Wayback Machine NDSS 15 8 11 February 2015 Internet Society ISBN 1 891562 38 X doi 10 14722 ndss 2015 23162 angl Adam Barth 26 sichnya 2010 Security in Depth New Security Features Chromium Blog Arhiv originalu za 13 serpnya 2011 Procitovano 19 listopada 2010 Sid Stamm 26 serpnya 2010 HTTP Strict Transport Security has landed Arhiv originalu za 4 lipnya 2012 Procitovano 19 listopada 2010 Giorgio 23 sentyabrya 2009 Strict Transport Security in NoScript Arhiv originalu za 4 lipnya 2012 Procitovano 19 listopada 2010 Preloaded HSTS sites 18 lyutogo 2020 u Wayback Machine ChromiumPosilannya rfc 6797 Specifikaciya HTTP Strict Transport Security HSTS RFC 6797 listopad 2012 angl NDSS 15 ISBN 1 891562 38 X DOI 10 14722 ndss 2015 23162

Дата публікації:
Топ