HSTS este un antet de răspuns de securitate web. Numele este un acronim pentru „HTTP Strict Transport Security”. Funcția antetului HSTS este de a forța browserele să se conecteze la site-uri web folosind HTTPS.
Sfat: HTTPS folosește criptarea pentru a vă securiza conexiunea web împotriva hackerilor care încearcă să o modifice sau să o monitorizeze. HTTP nu are aceste protecții, așa că un hacker la locul potrivit ar putea monitoriza și modifica traficul dvs. HTTP.
Un antet de răspuns web este o bucată de metadate trimisă de server atunci când răspunde la solicitările web. Un subset al acestor anteturi este adesea denumit anteturi de securitate deoarece scopul lor este de a crește securitatea site-ului web și a utilizatorului.
Antetul HSTS are două părți obligatorii și două opționale. Numele antetului „Strict-Transport-Security” și apoi operatorul și valoarea „max-age” sunt ambele obligatorii. O altă pereche de operatori, „includeSubDomains” și „preload” sunt, de asemenea, folosite uneori.
Când browserul primește un răspuns HTTPS cu antetul HSTS, acesta este instruit să se conecteze la acest site web și la toate resursele de pe acesta, folosind exclusiv HTTPS pe durata temporizatorului „max-age”. „Vârsta maximă” este o variabilă care descrie cât timp o setare trebuie reținută de browser. Valoarea „max-age” este afișată în secunde, valoarea recomandată este „31536000”, adică un an.
Ideea este că, pe durata acestui temporizator, care este resetat cu fiecare încărcare ulterioară a paginii, browserul va necesita o conexiune HTTPS și va respinge orice resurse HTTP. Acest lucru vă protejează împotriva atacurilor persoanei din mijloc, în care un hacker dintre dvs. și serverul web poate manipula răspunsurile pe care le primiți.
Principalul punct în care acest lucru vă protejează este prima conexiune. De obicei, atunci când vă conectați la un site web, puteți solicita site-ul HTTP și apoi fiți redirecționat către site-ul HTTPS. Din nefericire, un hacker aflat într-o poziție de persoană din mijloc ar putea împiedica această actualizare la HTTPS și ar putea apoi să vă fure sau să vă monitorizeze activitatea pe site. Cu toate acestea, odată ce antetul HSTS a fost văzut de browser, browserul dumneavoastră va face chiar și prima conexiune prin HTTPS, protejându-vă de hackeri.
HSTS previne, de asemenea, încărcarea oricăror resurse nesigure care ar putea fi modificate rău intenționat de către un atacator dacă ar fi livrate prin HTTP.
Operatorul „includeSubDomains” este folosit pentru a indica faptul că antetul ar trebui să se aplice și tuturor subdomeniilor site-ului web.
Lista de preîncărcare HSTS
Este posibil să observați că HSTS încă nu vă protejează chiar de prima dată când vă conectați la un site web. Aici intervine operatorul de „preîncărcare”. Site-urile web se pot prezenta pentru a fi incluse în lista de preîncărcare HSTS, operatorul „preîncărcare” este un indicator necesar dacă acesta este cazul. Lista de preîncărcare HSTS este actualizată și stocată în mod regulat în browser, dacă un site este inclus în acesta, browserul îi va aplica protecțiile HSTS. Acest lucru se întâmplă chiar și la prima conexiune înainte ca browserul să fi văzut vreodată antetul de răspuns HSTS.
Sfat: O „vârsta maximă” de un an sau mai mult este necesară pentru a fi adăugată la lista de preîncărcare HSTS.
Probleme cu HSTS
Unul dintre punctele principale ale HSTS este că prezintă un mesaj de eroare dacă există probleme cu conexiunea HTTPS. Ca măsură suplimentară de securitate, utilizatorii nu ar trebui să poată ocoli mesajele de eroare HSTS, așa cum ar putea face cu erorile HTTPS normale.
Din păcate, acest lucru poate cauza probleme dacă o companie lansează HSTS înainte de întregul site web și fiecare resursă utilizată pe acesta acceptă HTTPS. În acest caz, utilizatorii vor începe să vadă mesaje de eroare de securitate HSTS pe care nu le pot ocoli, în esență, distrugând complet site-ul web. Partea cea mai proastă este că pur și simplu eliminarea antetului HSTS nu rezolvă problema pentru acești utilizatori, deoarece browserul lor va continua să aplice HSTS pentru „vârsta maximă” care poate dura luni.
Ca atare, este foarte important ca o „vârsta maximă” scurtă să fie utilizată la prima implementare a antetului. Dacă există probleme, acestea persistă doar pentru o perioadă scurtă de timp odată descoperite. Doar după ce sunteți sigur că site-ul dvs. web este complet compatibil HSTS, ar trebui să configurați un temporizator HSTS lung.
Sfat: Este, de asemenea, posibil să setați o „vârsta maximă” de 0, aceasta elimină în esență intrarea HSTS salvată de la oricine o vede. Acest lucru poate ajuta dacă există o problemă, dar va afecta utilizatorii numai atunci când și dacă decid să încerce din nou.