HSTS je glava odgovora spletne varnosti. Ime je kratica za "HTTP Strict Transport Security". Naloga glave HSTS je prisiliti brskalnike, da se povežejo s spletnimi mesti prek HTTPS.
Nasvet: HTTPS uporablja šifriranje za zaščito vaše spletne povezave pred hekerji, ki jo poskušajo spremeniti ali spremljati. HTTP nima te zaščite, zato lahko heker na pravem mestu spremlja in spreminja vaš promet HTTP.
Glava spletnega odgovora je del metapodatkov, ki jih pošlje strežnik, ko se odzove na spletne zahteve. Podmnožica teh glav se pogosto imenuje varnostne glave, saj je njihov namen povečati varnost spletnega mesta in uporabnika.
Glava HSTS ima dva obvezna dela in dva neobvezna. Ime glave »Strict-Transport-Security« in nato operator in vrednost »max-age« sta obvezna. Včasih se uporablja tudi drug par operaterjev, "includeSubDomains" in "preload".
Ko brskalnik prejme odgovor HTTPS z glavo HSTS, se mu naroči, da se poveže s tem spletnim mestom in vsemi viri na njem, pri čemer uporablja izključno HTTPS v času trajanja časovnika »max-age«. »Max-age« je spremenljivka, ki opisuje, kako dolgo si mora brskalnik zapomniti nastavitev. Vrednost "maks-age" je navedena v sekundah, priporočena vrednost je "31536000", kar je eno leto.
Ideja je, da v času trajanja tega časovnika, ki se ponastavi z vsakim naslednjim nalaganjem strani, brskalnik zahteva povezavo HTTPS in zavrne vse vire HTTP. To ščiti pred napadi osebe v sredini, kjer lahko heker med vami in spletnim strežnikom manipulira z odgovori, ki jih prejmete.
Glavna točka, na kateri vas to ščiti, je prva povezava. Običajno lahko, ko se povežete s spletnim mestom, zahtevate spletno mesto HTTP in se nato preusmerite na spletno mesto HTTPS. Na žalost bi lahko heker v položaju osebe v sredini preprečil to nadgradnjo na HTTPS in bi lahko nato ukradel ali spremljal vašo dejavnost na spletnem mestu. Ko brskalnik vidi glavo HSTS, bo vaš brskalnik vzpostavil celo prvo povezavo prek HTTPS in vas zaščitil pred hekerji.
HSTS prav tako preprečuje nalaganje kakršnih koli nevarnih virov, ki bi jih napadalec lahko tudi zlonamerno spremenil, če bi bili dostavljeni prek HTTP.
Operater “includeSubDomains” se uporablja za označevanje, da bi morala glava veljati tudi za vse poddomene spletnega mesta.
Seznam prednalaganja HSTS
Morda boste opazili, da vas HSTS še vedno ne ščiti, ko se prvič povežete s spletnim mestom. Tu nastopi operater "prednaložitve". Spletna mesta se lahko prijavijo za vključitev na seznam prednalaganja HSTS, če je tako, je operater »prednalaganje« obvezen indikator. Seznam prednalaganja HSTS se redno posodablja in shranjuje v brskalniku, če je stran vključena v to, bo brskalnik zanjo uporabil zaščito HSTS. To se zgodi že pri prvi povezavi, preden je brskalnik sploh lahko videl glavo odgovora HSTS.
Nasvet: na seznam prednalaganja HSTS je treba dodati »največjo starost« eno leto ali več.
Težave s HSTS
Ena od glavnih točk HSTS je, da prikaže sporočilo o napaki, če obstajajo težave s povezavo HTTPS. Kot dodaten varnostni ukrep naj uporabniki ne bi mogli zaobiti sporočil o napakah HSTS, kot bi to zmogli z običajnimi napakami HTTPS.
Na žalost lahko to povzroči težave, če podjetje uvede HSTS pred celotno spletno stranjo in vsak vir, uporabljen na njem, podpira HTTPS. V tem primeru bodo uporabniki začeli videti sporočila o varnostnih napakah HSTS, ki jih ne morejo zaobiti, kar v bistvu popolnoma pokvari spletno mesto. Najslabše je, da preprosto odstranitev glave HSTS ne odpravi težave za te uporabnike, saj bo njihov brskalnik še naprej uveljavljal HSTS za potencialno večmesečno "največjo starost".
Zato je zelo pomembno, da se pri prvi uporabi glave uporabi kratka »max-age«. Če obstajajo kakršne koli težave, potem trajajo le kratek čas, ko so odkrite. Šele ko ste prepričani, da je vaše spletno mesto popolnoma skladno s HSTS, lahko konfigurirate dolg časovnik HSTS.
Nasvet: Možno je tudi nastaviti »največjo starost« 0, kar v bistvu odstrani shranjeni vnos HSTS vsem, ki ga vidijo. To lahko pomaga, če pride do težave, vendar bo vplivalo le na uporabnike, ko in če se odločijo poskusiti znova.