it-swarm-eu.dev

HSTS navíc zabezpečení přes HTTPS

Je HSTS dobré používat, i když jsou mé servery nakonfigurovány pro použití HTTPS (pokud je používán HTTP, přepisovací pravidla v Apache změní na HTTPS)?

Měl by být HSTS používán i na zdrojích, jako jsou CSS a obrázky, nebo jen když je typ obsahu text/html?

28
Novice User

Ano, pokud používáte SSL na celém webu, určitě doporučuji povolit HSTS .

HSTS je důležité bezpečnostní opatření k porážce útoků typu man-in-the-middle, které přesouvají uživatele na http a poté na něj útočí. Například sslstrip je dobře známý nástroj k připojení takového útoku. Další podrobnosti o tomto druhu útoku naleznete v následujících otázkách: Jak zmařit útok sslstrip? , Možnosti při obraně proti SSLstrip? a tato odpověď .

HSTS říká prohlížeči: nikdy nepoužívejte HTTP s tímto webem. Získejte přístup pouze přes HTTPS. Chcete-li povolit HSTS, musíte se ujistit, že váš web funguje s HTTPS a pouze HTTPS. To zahrnuje vše: HTML, CSS, Javascript, všechno. Ujistěte se, že všechny CSS a Javascript na vašem webu jsou dostupné přes HTTPS. Navrhuji také, abyste své stránky převedli tak, aby odkazovaly na vše přes HTTPS (doporučuji, aby vaše stránky nenahrávaly žádný jiný zdroj Javascript nebo CSS přes HTTP, protože to může způsobit varování nebo bezpečnostní problémy pro některé prohlížeče).

Řekněme například, že váš web je www.example.com a máte stránku https://www.example.com/buy.html který obsahuje nějaký Javascript z vašeho webu. Musíte se ujistit, že je váš soubor Javascript dostupný na adrese URL HTTPS (např. https://www.example.com/library.js). Doporučuji jej načíst pomocí adresy HTTPS (např. <SCRIPT SRC="https://www.example.com/library.js">).

P.S. Doporučuji také nastavit příznak secure na všechny soubory cookie, které používáte.

15
D.W.

Ano, přísná bezpečnost dopravy poskytuje skutečnou výhodu.

HSTS říká prohlížeči, aby komunikoval se serverem pouze přes HTTPS. Když prohlížeč poprvé uvidí hlavičku HSTS ze serveru, zapamatuje si ji. Když uživatel znovu navštíví web, vynutí prohlížeč, aby veškerá komunikace probíhala přes HTTPS. To bude fungovat, dokud útočník neodstraní hlavičku při první návštěvě webu.

Tím se zabrání útokům strippingu SSL, což je forma útoku typu „člověk uprostřed“, který uživateli přináší místo textu SSL zdroj čistého textu. Normálně by uživatel nebyl upozorněn a většina „průměrných“ uživatelů by nezjistila, že visací zámek SSL nebo zelená/modrá zvýraznění nejsou na panelu URL zobrazeny. V případě HSTS by prohlížeč okamžitě varoval uživatele, že se prohlížeč pokouší porušit jeho vlastní bezpečnostní politiku.

  1. Klient vytvoří připojení k serveru prostým textem.
  2. Server odpoví přesměrováním na adresu HTTPS se sadou záhlaví HSTS.
  3. Klient a server komunikují přes SSL.
  4. Ukončení relace.
  5. Klient se vrací později, prohlížeč uložil příznak HSTS pro tuto doménu.
  6. Útočník se pokusí provést útok pomocí protokolu SSL a klientovi doručí čistý text.
  7. Klient uznává, že zásady HSTS to zakazují a upozorňují uživatele.

Pro další zabezpečení někteří navrhují, aby byl HSTS implementován jako možnost v DNSSEC, takže záhlaví HSTS je nastaveno jako součást vyhledávání DNS. Vzhledem k tomu, že DNSSEC poskytuje silnou bezpečnost prostřednictvím předem distribuovaných autorizačních certifikátů, bylo by útočníkovi mimořádně obtížné porazit mechanismus HSTS, i když se při první návštěvě webu aktivně pokoušejí o SSL proužek.

22
Polynomial