HSTS

A HSTS (az angol  HTTP Strict Transport Security rövidítése ) egy olyan mechanizmus, amely erőszakkal aktiválja a biztonságos kapcsolatot a HTTPS protokollon keresztül . Ez a biztonsági házirend lehetővé teszi a biztonságos kapcsolat azonnali létrehozását a HTTP protokoll használata helyett. A mechanizmus egy speciális fejléc Strict-Transport-Security segítségével kényszeríti a böngészőt a HTTPS protokoll használatára még akkor is, ha olyan hivatkozásokat követ, amelyek kifejezetten meghatározzák a HTTP protokollt ( http:// ). A mechanizmust az RFC6797 írja le 2012 novemberében.

A HSTS segít megelőzni egyes támadásokat , amelyek célja a felhasználó és a webhely közötti kapcsolat megszakítása, különös tekintettel a védelem szintjének csökkenésével járó támadásokra és a cookie- k (cookie-k) ellopására .

A https-kapcsolatok további védelmét a Tanúsítványrögzítési módszerek ( a tartományhoz engedélyezett tanúsítványok vagy CA -k listájának tárolása a böngésző forráskódjában) és a HTTP nyilvános kulcs rögzítése biztosítják . Megakadályozzák a https-kiszolgáló tls-tanúsítványainak meghamisításának számos lehetőségét.

Specifikáció

A specifikációt Jeff Odge (=JeffH, Paypal ), Adam Barth ( UC Berkeley ), Colin Jackson ( Carnegie Mellon University ) dolgozta ki és javasolta. Az IETF WebSec munkacsoportjában folytatott megbeszélést követően a specifikációt RFC-ként fogadták el 2012. november 19-én.

Mechanizmus

A szerver a HSTS-házirendeket egy speciális fejléccel közli, amikor titkosított HTTPS-en keresztül csatlakozik (a HSTS-fejlécet figyelmen kívül hagyja, ha titkosítatlan HTTP-n keresztül csatlakozik) [1] . Például a Wikipédia szerverek egy HSTS-fejlécet küldenek 1 éves érvényességi idővel, amely az összes aldomainre terjed (a max-age mező másodpercben jelzi az érvényességi időt, a 31536000 érték körülbelül egy évnek felel meg): Strict-Transport-Security: max-age=31536000; includeSubDomains; preload.

Amikor egy webhely HSTS-házirendet kényszerít ki, a HSTS-fejlécet helyesen megértő felhasználói böngészőknek [2] :

1. A webhelyre mutató összes http-hivatkozás automatikus konvertálása https-hivatkozásokká offline módban. (Például a http://ru.wikipedia.org/wiki/HSTS helyett a böngésző a https://ru.wikipedia.org/wiki/HSTS-t használja , az átalakítás még azelőtt megtörténik, hogy a szerver ténylegesen kapcsolatba lépne.)
2. Ha a https kapcsolat biztonsága nem ellenőrizhető (különösen, ha a TLS - a szerver tanúsítványa nincs aláírva megbízható kulccsal), hibaüzenet jelenik meg, és a felhasználó megtagadja a hozzáférést a webhelyhez [3] .

A meglévő HSTS-irányelvek segítenek megvédeni a webhely felhasználóit a passzív és az aktív támadásoktól [4] . A MiTM támadások sokkal nehezebbé válnak.

A HSTS statikus listája

A HSTS eredeti verziója nem védi a felhasználó első csatlakozását a webhelyhez. A támadó könnyen elkaphatja az első kapcsolatot, ha az meghaladja a http-t. A probléma leküzdésére a legtöbb modern böngésző egy további statikus webhelylistát ( HSTS előtöltési listát ) használ, amelyek megkövetelik a https protokoll használatát. Ilyen listát 2010 óta állítanak össze a Google Chrome / Chromium szerzői [5] [6] , amely alapján Microsoft böngészőkhöz (Edge és Internet Explorer , 2015 óta) hasonló listákat állítanak össze [7] , Safari [8] és Mozilla Firefox (2012 óta) [9] . Egy ilyen lista kérésre olyan oldalakat tartalmaz, amelyek a HSTS fejlécet maximális időtartammal és az előtöltési jelzővel használják , és nem tervezik a https elhagyását [9] , de a technológia nem skálázódik jól [8] .

2014 végén több mint ezer domain szerepelt a statikus listán, ezek mintegy negyede Google domain volt [10] .

Használat

• Az ügyfél oldalon
  • Chromium 4 és az összes azon alapuló böngésző [11] .
  • Firefox 4 [12]
  • NoScript [13]
• A webhely oldalán (az összes felsorolt ​​szerepel a HSTS előtöltési listáján ) [14] :
  • Google
  • Wikia
  • PayPal
  • Wikipédia
  • Twitter

Követés HSTS-sel

A HSTS az inkognitómód használatától függetlenül használható a rendkívül állandó címkékkel rendelkező böngészők kemény elnyomására (lásd még Supercookie -k ). [tizenöt]

A Mozilla Firefox böngésző a 85-ös verzió óta HSTS gyorsítótárazáson alapuló nyomkövetési eszközöket biztosít [16] .

Lásd még

• HTTPS mindenhol

Jegyzetek

1. ↑ HTTP Strict Transport Security . Mozilla fejlesztői hálózat . Letöltve: 2015. június 12. Az eredetiből archiválva : 2014. március 18.. (határozatlan)
2. ↑ Hodges, Jeff; Jackson, Collin; Barth, Ádám. 5. szakasz. A HSTS-mechanizmus áttekintése . RFC 6797 . IETF (2012. november). Letöltve: 2012. november 21. Az eredetiből archiválva : 2020. február 26. (határozatlan)
3. ↑ Hodges, Jeff; Jackson, Collin; Barth, Ádám. 12.1. Nincs felhasználói jogorvoslat . RFC 6797 . IETF (2012. november). Letöltve: 2014. június 30. Az eredetiből archiválva : 2020. február 26. (határozatlan)
4. ↑ Hodges, Jeff; Jackson, Collin; Barth, Ádám. 2.3. Fenyegetés modell . RFC 6797 . IETF (2012. november). Letöltve: 2012. november 21. Az eredetiből archiválva : 2020. február 26. (határozatlan)
5. ↑ HSTS archiválva : 2018. április 3. a Wayback Machine / Chromiumnál – Előre betöltött HSTS-webhelyek
6. ↑ https://hstspreload.appspot.com/ Archiválva : 2015. február 7. a Wayback Machine -nél Ezzel az űrlappal lehet domaineket beküldeni a Chrome HTTP Strict Transport Security (HSTS) előbetöltési listájára.
7. ↑ A HTTP Strict Transport Security elérhető az Internet Explorer 11 böngészőben Windows 8.1 és Windows 7 rendszeren. Archiválva : 2019. november 27., a Wayback Machine / Microsoft Enge Blog, 2015-06-09
8. ↑ 12 HSTS előtöltés . Letöltve: 2015. szeptember 17. Az eredetiből archiválva : 2018. április 3. (határozatlan)
9. ↑ 1 2 HSTS előtöltése archiválva 2020. február 24-én a Wayback Machine -en / Mozilla Security Blog, 2012
10. ↑ HTTPS frissítése a levegőben: Empirical Study of Strict Transport Security and Key Pinning Archiválva : 2016. március 4., a Wayback Machine / NDSS '15, 2015. február 8-11. // Internet Society, ISBN 1-891562-38-X doi:10.14722/  ndss.2015.23162
11. ↑ Barth Ádám. Mélyreható biztonság: Új biztonsági szolgáltatások  (angolul)  (hivatkozás nem érhető el) . Chromium Blog (2010. január 26.). Letöltve: 2010. november 19. Az eredetiből archiválva : 2011. augusztus 13..
12. ↑ Sid Stamm. A HTTP Strict Transport Security leszállt!  (angol)  (nem elérhető link) (2010. augusztus 26.). Letöltve: 2010. november 19. Az eredetiből archiválva : 2012. július 4..
13. ↑ György. Szigorú szállításbiztonság a NoScript  nyelven (angol nyelven)  (hivatkozás nem érhető el) (2009. szeptember 23.). Letöltve: 2010. november 19. Az eredetiből archiválva : 2012. július 4..
14. ↑ Előre betöltött HSTS-webhelyek archiválva 2020. február 18-án a Wayback Machine / Chromiumnál
15. ↑ A HSTS szupersüti arra kényszeríti Önt, hogy válasszon: "Adatvédelem vagy biztonság?" - . sophos.com . Letöltve: 2015. december 1. Az eredetiből archiválva : 2020. február 11. (határozatlan)
16. ↑ A Firefox 85 feltöri a szupersütiket - Mozilla Security Blog - . mozilla.org . Letöltve: 2021. február 19. Az eredetiből archiválva : 2021. február 3.. (határozatlan)

Linkek

• HTTP Strict Transport Security (HSTS) specifikáció , RFC 6797 , 2012. nov.  
• HTTPS frissítése a levegőben: empirikus tanulmány a szigorú közlekedésbiztonságról és a kulcsok rögzítéséről / NDSS '15, 2015. február 8-11. // Internet Society, ISBN 1-891562-38-X doi:10.14722/  ndss.2015.231