כל הזכויות שמורות לטל בן שושן – Shushan.co.il
HSTS הוא קיצור של HTTP Strict Transport Security והוא פ’יצר אבטחה של הדפדפן, הוא נתמך היום על ידי Chrome וע”י Firefox.
באמצעות פ’יצר זה הדפדפן מוודא שהאתר שאליו אתם ניגשים הוא בתצורת Https ולא Http שכן החשש הוא מתוקף אשר יבצע MITM (בקיצור Man In The Middle)
הדפדפן שולח לאתר את הבקשה הבאה
(31536000 שניות, זה שנה אחת) ומדגיש לו לעבוד בתצורת HSTS
כאשר האתר מקבל את ההודעה הזו, הוא מעביר Https בלבד ונמנע לחלוטין מלהגיש את האתר בתצורת Http
אם נשתמש בתצורה הבאה, זאת אומרת שגם Sub Domain יוגש ב Https בלבד, זה קצת בעייתי שכן יש אתרים שלא כל הדפים יכולים להיות https ולכן לא כל האתרים תומכים בהגדרה זו.
לגוגל יש רשימה של אתרים שמחוייבים ב Https
רשימת האתרים שבהם תומך כרום ב HSTS ומחייב גישה אליהם בתצורת Https
ברגע שתכנסו לאתר כמו Paypal ותוקף יבצע MITM המשתמש יקבל הודעה שהאתר מסכן אותו והוא אינו יכול להמשיך לאתר (למרות שבעבר המשתמש יכל ללחוץ המשך בכל זאת)
אם נכנס לאתר של Paypal נוכל להבחין שבעמוד הראשי קיבלו ב Header
באתר הבא נוכל לבדוק האם אתר מסוים תומך ומוגדר כHSTS, שכן כל הקישורים באתר, וקישורים שיוצאים ממנו חייבים להיות ולתמוך ב Https שכן ללא תמיכה מלאה, גוגל לא רוצה “להכריח” את האתר לרוץ ב https
https://hstspreload.orghttps://hstspreload.org
