HSTS утверждён в качестве стандарта RFC 6797
Организация Internet Engineering Task Force (IETF), ответственная за разработку и утверждение стандартов интернета, в понедельник опубликовала спецификации HSTS в качестве официального стандарта RFC 6797.
Протокол HTTP Strict Transport Security (HSTS) предназначен для установления защищённого соединения между браузером и веб-сайтом — это, фактически, HTTPS по умолчанию. При условии, что и браузер, и сервер поддерживают эту технологию, соединение по HSTS будет устанавливаться автоматически, с использованием префикса https: в URL без дополнительного обращения к пользователю. Протокол HSTS поддерживается в современных браузерах (кроме IE и Safari), а также на ряде сайтов. HSTS наверняка станет частью стандарта HTTP/2.0, над которым уже идёт работа.
Рабочая группа Web Security Working Group дорабатывала HSTS с 2010 года, когда его впервые представили в качестве черновика авторы протокола — Джефф Ходжес (Jeff Hodges) из Paypal, Колин Джексон (Collin Jackson) из университета Карнеги-Меллона и Адам Барт (Adam Barth) из Google.
Ценность HSTS для веб-безопасности состоит в том, что этот протокол решает проблему так называемого «смешанного контента», который угрожает цельности и защищённости веб-сайтов. Подобные ситуации возникают, если скрипты или другие ресурсы, встроенные в HTTS-сайты, загружаются со сторонних источников через небезопасное соединение. Это может быть или результатом ошибки разработчика, или злонамеренным действием. При загрузке контента по чистому HTTP злоумышленник может перехватить cookies или другую информацию с помощью пакетного снифера. Техника известна как SSL-стриппинг (SSL stripping), существуют специальные инструменты для реализации подобных методов. Таким образом, HSTS устраняет опасность MiTM-атак. Если сайт и браузер поддерживают HSTS, то браузер откажется инициировать незащищённые соединения.
Соглашение о поддержке HSTS передаётся между сервером и веб-сайтом через соответствующие HTTP-заголовки (Strict-Transport-Security). Эти заголовки могут использоваться для обновления и продления HSTS-сессии.
По мнению экспертов, HSTS — одна из лучших вещей, которая случилась с SSL, поскольку исправляет некоторые из ошибок, сделанные при разработке этого протокола 18 лет назад. HSTS модернизирует технологию и приводит её в соответствие с тем, как работают современные браузеры. Например, изначально полагаться на сертификаты SSL было ошибкой, говорит Иван Ристич (Ivan Ristic), директор компании в области информационной безопасности Qualys, потому что разработчики склонны устанавливать правила для игнорирования ошибок проверки сертификатов. В большинстве случаев не происходит ничего страшного, но это де-факто дыра в безопасности.
HSTS не предусматривает обходного манёвра при ошибке проверки сертификата: браузер просто отказывается устанавливать незащищённое соединение, как бы не хотел этого разработчик.
Теоретически, HSTS всё-таки оставляет лазейку для атаки в том случае, когда браузер впервые посещает сайт и ещё не установил для него правил HSTS. В такой ситуации злоумышленник может блокировать все пакеты HSTS и принудительно заставить браузер работать по незащищённому соединению. Для решения этой проблемы, например, разработчики Chrome и Firefox создали «белый список» сайтов, которые по умолчанию поддерживают HSTS, и этот список поставляется вместе с браузером.
По статистике SSL Pulse, на сегодняшний день всего лишь 1,7 тыс. из 180 тыс. самых популярных сайтов с HTTPS поддерживают ещё и HSTS. К сожалению, у некоторых наблюдаются проблемы с корректной реализацией, говорит Рисич. Например, они устанавливают слишком короткий период валидности для HSTS, так что браузер вынужден аннулировать сохранённые правила почти после каждой сессии. Это сводит на нет преимущества HSTS, и подобные сайты приходится исключать из белых списков Chrome и Firefox.
На сегодняшний день, из крупных сайтов HSTS поддерживают только Paypal, Twitter и Google. Социальная сеть Facebook ещё не до конца выкатила обычный HTTPS для всех пользователей и пока не поддерживает HSTS.
Подробнее: http://www.xakep.ru/post/59685/default.asp
|
Организация Internet Engineering Task Force (IETF), ответственная за разработку и утверждение стандартов интернета, в понедельник опубликовала спецификации HSTS в качестве официального стандарта RFC |
РэдЛайн, создание сайта, заказать сайт, разработка сайтов, реклама в Интернете, продвижение, маркетинговые исследования, дизайн студия, веб дизайн, раскрутка сайта, создать сайт компании, сделать сайт, создание сайтов, изготовление сайта, обслуживание сайтов, изготовление сайтов, заказать интернет сайт, создать сайт, изготовить сайт, разработка сайта, web студия, создание веб сайта, поддержка сайта, сайт на заказ, сопровождение сайта, дизайн сайта, сайт под ключ, заказ сайта, реклама сайта, хостинг, регистрация доменов, хабаровск, краснодар, москва, комсомольск |
Дайджест новых статей по интернет-маркетингу на ваш email
Новые статьи и публикации
- 2024-11-15 » Перенос сайта на WordPress с одного домена на другой
- 2024-11-08 » OSPanel 6: быстрый старт
- 2024-11-08 » Как установить PhpMyAdmin в Open Server Panel
- 2024-09-30 » Как быстро запустить Laravel на Windows
- 2024-09-25 » Next.js
- 2024-09-05 » OpenAI рассказал, как запретить ChatGPT использовать содержимое сайта для обучения
- 2024-08-28 » Чек-лист: как увеличить конверсию интернет-магазина на примере спортпита
- 2024-08-01 » WebSocket
- 2024-07-26 » Интеграция с Яндекс Еда
- 2024-07-26 » Интеграция с Эквайринг
- 2024-07-26 » Интеграция с СДЕК
- 2024-07-26 » Интеграция с Битрикс-24
- 2024-07-26 » Интеграция с Travelline
- 2024-07-26 » Интеграция с Iiko
- 2024-07-26 » Интеграция с Delivery Club
- 2024-07-26 » Интеграция с CRM
- 2024-07-26 » Интеграция с 1C-Бухгалтерия
- 2024-07-24 » Что такое сторителлинг: техники и примеры
- 2024-07-17 » Ошибка 404: что это такое и как ее использовать для бизнеса
- 2024-07-03 » Размещайте прайс-листы на FarPost.ru и продавайте товары быстро и выгодно
- 2024-07-01 » Профилирование кода в PHP
- 2024-06-28 » Изучаем ABC/XYZ-анализ: что это такое и какие решения с помощью него принимают
- 2024-06-17 » Зачем вам знать потребности клиента
- 2024-06-11 » Что нового в работе Яндекс Метрики: полный обзор обновления
- 2024-06-11 » Поведенческие факторы ранжирования в Яндексе
- 2024-06-11 » Скорость загрузки сайта: почему это важно и как влияет на ранжирование
- 2024-05-27 » Подборка сервисов для расшифровки аудио в текст
- 2024-05-27 » PostgreSQL 16. Изоляция транзакций. Часть 2
- 2024-05-06 » Как настраивать конверсионные стратегии: работа над ошибками
- 2024-04-22 » Комментирование кода и генерация документации в PHP
Кто мало хочет, тот дешево стоит |
Мы создаем сайты, которые работают! Профессионально обслуживаем и продвигаем их !
Как мы работаем
Заявка
Позвоните или оставьте заявку на сайте.
Консультация
Обсуждаем что именно Вам нужно и помогаем определить как это лучше сделать!
Договор
Заключаем договор на оказание услуг, в котором прописаны условия и обязанности обеих сторон.
Выполнение работ
Непосредственно оказание требующихся услуг и работ по вашему заданию.
Поддержка
Сдача выполненых работ, последующие корректировки и поддержка при необходимости.
Мы создаем практически любые сайты от продающих страниц до сложных, высоконагруженных и нестандартных веб приложений! Наши сайты это надежные маркетинговые инструменты для успеха Вашего бизнеса и увеличения вашей прибыли! Мы делаем красивые и максимально эффектные сайты по доступным ценам уже много лет!
Комплексный подход это не просто продвижение сайта, это целый комплекс мероприятий, который определяется целями и задачами поставленными перед сайтом и организацией, которая за этим стоит. Время однобоких методов в продвижении сайтов уже прошло, конкуренция слишком высока, чтобы была возможность расслабиться и получать \ удерживать клиентов из Интернета, просто сделав сайт и не занимаясь им...
Мы оказываем полный комплекс услуг по сопровождению сайта: информационному и техническому обслуживанию и развитию Интернет сайтов.
Контекстная реклама - это эффективный инструмент в интернет маркетинге, целью которого является увеличение продаж. Главный плюс контекстной рекламы заключается в том, что она работает избирательно.