Notice: הפונקציה _load_textdomain_just_in_time נקרא בצורה לא תקינה. Translation loading for the soledad domain was triggered too early. This is usually an indicator for some code in the plugin or theme running too early. Translations should be loaded at the init action or later. למידע נוסף כנסו לניפוי תקלות בוורדפרס. (הודעה זו נוספה בגרסה 6.7.0.) in /home/shushan/domains/shushan.co.il/public_html/wp-includes/functions.php on line 6121
הסבר על HSTS – HTTP Strict Transport Security – טל בן שושן
Home אבטחת מידעInformation Security הסבר על HSTS – HTTP Strict Transport Security

הסבר על HSTS – HTTP Strict Transport Security

נהנתם מהמאמר ? שתפו אותו!

כל הזכויות שמורות לטל בן שושן – Shushan.co.il

HSTS הוא קיצור של HTTP Strict Transport Security והוא פ'יצר אבטחה של הדפדפן, הוא נתמך היום על ידי Chrome וע"י Firefox.
באמצעות פ'יצר זה הדפדפן מוודא שהאתר שאליו אתם ניגשים הוא בתצורת Https ולא Http שכן החשש הוא מתוקף אשר יבצע MITM (בקיצור Man In The Middle)

הדפדפן שולח לאתר את הבקשה הבאה

(31536000 שניות, זה שנה אחת) ומדגיש לו לעבוד בתצורת HSTS

Strict-Transport-Security: max-age=31536000

כאשר האתר מקבל את ההודעה הזו, הוא מעביר Https בלבד ונמנע לחלוטין מלהגיש את האתר בתצורת Http

אם נשתמש בתצורה הבאה, זאת אומרת שגם Sub Domain יוגש ב Https בלבד, זה קצת בעייתי שכן יש אתרים שלא כל הדפים יכולים להיות https ולכן לא כל האתרים תומכים בהגדרה זו.

Strict-Transport-Security: max-age=31536000; includeSubDomains

לגוגל יש רשימה של אתרים שמחוייבים ב Https
רשימת האתרים שבהם תומך כרום ב HSTS ומחייב גישה אליהם בתצורת Https

ברגע שתכנסו לאתר כמו Paypal ותוקף יבצע MITM המשתמש יקבל הודעה שהאתר מסכן אותו והוא אינו יכול להמשיך לאתר (למרות שבעבר המשתמש יכל ללחוץ המשך בכל זאת)

אם נכנס לאתר של Paypal נוכל להבחין שבעמוד הראשי קיבלו ב Header

באתר הבא נוכל לבדוק האם אתר מסוים תומך ומוגדר כHSTS, שכן כל הקישורים באתר, וקישורים שיוצאים ממנו חייבים להיות ולתמוך ב Https שכן ללא תמיכה מלאה, גוגל לא רוצה "להכריח" את האתר לרוץ ב https

https://hstspreload.orghttps://hstspreload.org

 

מאמרים קשורים

Leave a Comment