Home אבטחת מידעInformation Security הסבר על HSTS – HTTP Strict Transport Security

הסבר על HSTS – HTTP Strict Transport Security

by Tal Ben Shushan 17/04/2019 0 comment
הסבר על HSTS – HTTP Strict Transport Security

HSTS הוא קיצור של HTTP Strict Transport Security והוא פ’יצר אבטחה של הדפדפן, הוא נתמך היום על ידי Chrome וע”י Firefox.
באמצעות פ’יצר זה הדפדפן מוודא שהאתר שאליו אתם ניגשים הוא בתצורת Https ולא Http שכן החשש הוא מתוקף אשר יבצע MITM (בקיצור Man In The Middle)

הדפדפן שולח לאתר את הבקשה הבאה

(31536000 שניות, זה שנה אחת) ומדגיש לו לעבוד בתצורת HSTS

Strict-Transport-Security: max-age=31536000

כאשר האתר מקבל את ההודעה הזו, הוא מעביר Https בלבד ונמנע לחלוטין מלהגיש את האתר בתצורת Http

אם נשתמש בתצורה הבאה, זאת אומרת שגם Sub Domain יוגש ב Https בלבד, זה קצת בעייתי שכן יש אתרים שלא כל הדפים יכולים להיות https ולכן לא כל האתרים תומכים בהגדרה זו.

Strict-Transport-Security: max-age=31536000; includeSubDomains

לגוגל יש רשימה של אתרים שמחוייבים ב Https
רשימת האתרים שבהם תומך כרום ב HSTS ומחייב גישה אליהם בתצורת Https

ברגע שתכנסו לאתר כמו Paypal ותוקף יבצע MITM המשתמש יקבל הודעה שהאתר מסכן אותו והוא אינו יכול להמשיך לאתר (למרות שבעבר המשתמש יכל ללחוץ המשך בכל זאת)

אם נכנס לאתר של Paypal נוכל להבחין שבעמוד הראשי קיבלו ב Header

באתר הבא נוכל לבדוק האם אתר מסוים תומך ומוגדר כHSTS, שכן כל הקישורים באתר, וקישורים שיוצאים ממנו חייבים להיות ולתמוך ב Https שכן ללא תמיכה מלאה, גוגל לא רוצה “להכריח” את האתר לרוץ ב https

https://hstspreload.orghttps://hstspreload.org

מאמרים קשורים

Leave a Comment