什麼是hsts,它如何保護https免受駭客攻擊?

HTTPS保證了網站訪問者的安全,但它並不完美。以下是HSTS如何在幕後保護HTTPS免受駭客攻擊。...

您可能已經確保您的網站啟用了SSL,並且瀏覽器中漂亮的安全掛鎖是綠色的。然而,您可能已經忘記了HTTP的小安全人httpstrict Transport security(HSTS)。

protect-https

什麼是HSTS,它如何幫助您的網站保持安全?

什麼是https協議(https)?

HTTPS relies on HSTS

超文本傳輸協議安全(HTTPS)是網站(HTTP)的安全版本。使用安全套接字層(SSL)協議啟用加密,並使用SSL證書進行驗證。當您連接到HTTPS網站時,網站和用戶之間傳輸的信息是加密的。

此加密有助於防止通過中間人攻擊(MITM)竊取數據。添加的安全層也有助於提高網站的聲譽。事實上,添加SSL證書非常簡單,許多web主機將默認情況下免費將其添加到您的站點!也就是說,HTTPS仍然有一些缺陷,HST可以幫助修復。

什麼是高速列車(hsts)?

HSTS是一個響應頭,通知瀏覽器,啟用的網站只能通過HTTPS訪問。這迫使瀏覽器只能訪問網站的HTTPS版本及其上的任何資源。

您可能不知道,即使您已正確設置SSL證書併為網站啟用HTTPS,HTTP版本仍然可用。即使您使用301永久重定向設置了轉發,這也是正確的。

儘管HSTS政策已經存在了一段時間,但直到2016年7月谷歌才正式推出。這也許就是為什麼你還沒聽說過很多。

啟用HSTS將阻止SSL協議攻擊和cookie劫持,這是啟用SSL的網站中的另外兩個漏洞。此外,除了使網站更安全,HSTS將通過刪除加載過程中的一個步驟,使網站加載更快。

什麼是ssl剝離(ssl stripping)?

雖然HTTPS是HTTP的一個巨大改進,但它並不是不受黑客攻擊的。SSL剝離是一種非常常見的MITM黑客攻擊,用於使用重定向將用戶從HTTP發送到其網站的HTTPS版本。

301(永久)和302(臨時)重定向基本上是這樣工作的:

  1. 用戶類型谷歌網站在他們瀏覽器的地址欄裡。
  2. 瀏覽器最初嘗試加載http://google.com作為默認值。
  3. "古戈爾“設置了301永久重定向到https://google.com。
  4. 瀏覽器會看到重定向並加載https://google.com。

通過SSL剝離,黑客可以利用第3步到第4步之間的時間阻止重定向請求,並阻止瀏覽器加載網站的安全(HTTPS)版本。當您訪問未加密版本的網站時,您輸入的任何數據都可能被竊取。

黑客還可以重定向到你試圖訪問的網站的副本,並在你****時捕獲所有的數據,即使看起來很安全。

谷歌已經在Chrome中實施了一些步驟來阻止某些類型的重定向。但是,從現在起,啟用HSTS應該是默認情況下為所有網站執行的操作。

啟用hsts如何停止ssl剝離?

啟用HST將強制瀏覽器加載網站的安全版本,並忽略任何重定向和任何其他調用以打開HTTP連接。這將關閉301和302重定向存在的重定向漏洞。

HST也有負面的一面,也就是說用戶的瀏覽器至少要查看一次HSTS頭,才能利用它進行將來的訪問。這意味著他們至少要經歷一次HTTP>HTTPS進程,這使得他們第一次訪問啟用HSTS的網站時就容易受到攻擊。

為了解決這個問題,Chrome會預先加載一個啟用了HSTS的網站列表。如果符合要求(簡單)的標準,用戶可以將支持HSTS的網站提交到預加載列表中。

HSTS preload check

添加到此列表中的網站將被硬編碼到Chrome更新的未來版本中。它確保所有訪問你的HSTS網站的人都能在Chrome的更新版本中保持安全。

Firefox、Opera、Safari和internetexplorer都有自己的HSTS預加載列表,但它們是基於瀏覽器上的Chrome列表的hstspreload.org網站.

如何在您的網站上啟用HST

要在網站上啟用HST,首先需要有有效的SSL證書。如果您啟用HST而不啟用HST,則您的網站將不適用於任何訪問者,因此請確保您的網站和任何子域在繼續之前都在HTTPS上工作。

啟用HSTS相當容易。您只需要在站點上的.htaccess文件中添加一個頭文件。需要添加的標題為:

Strict-Transport-Security: max-age=31536000; includeSubDomains

這會添加一年最大年齡訪問cookie(什麼是cookie?),包括您的網站和任何子域。一旦瀏覽器訪問了該網站,它將無法訪問一年內該網站的不安全HTTP版本。確保此域上的所有子域都包含在SSL證書中,並且啟用了HTTPS。如果忘記了這一點,則在保存.htaccess文件後,將無法訪問子域。

缺少includeSubDomains選項的網站可以允許子域操縱cookies,從而使訪問者暴露於隱私洩露。啟用includeSubDomains後,這些與cookie相關的攻擊將不可能發生。

注意:在添加一年最大年齡之前,請先使用:max age=300測試整個網站的5分鐘最大年齡;

谷歌甚至建議你測試你的網站和它的性能(流量)一週,一個月的價值,以及之前實施兩年的最大年齡。

Five minutes: Strict-Transport-Security: max-age=300; includeSubDomainsOne week: Strict-Transport-Security: max-age=604800; includeSubDomainsOne month: Strict-Transport-Security: max-age=2592000; includeSubDomains

**hsts預加載列表

到現在為止,你應該熟悉的HST和為什麼它是重要的,你的網站使用它。保持你的網站訪問者安全在線應該是一個關鍵因素,你的網站計劃。

要獲得Chrome和其他瀏覽器使用的HSTS預加載列表的資格,您的網站必須滿足以下要求:

  1. 提供有效的SSL證書。
  2. 如果您正在偵聽端口80,則從HTTP重定向到同一主機上的HTTPS。
  3. 通過HTTPS服務所有子域。特別是,您必須支持以下內容的HTTPSwww.subdomain如果該子域的DNS記錄存在。
  4. 在基本域上為HTTPS請求提供HSTS標頭:最大時間必須至少為31536000秒(1年)。必須指定includeSubDomains指令。必須指定預加載指令。如果您正在從HTTPS站點提供附加重定向,則該重定向必須仍然具有HSTS標頭(而不是它重定向到的頁面)。

如果要將網站添加到HSTS預加載列表中,請確保添加所需的預加載標記。“預加載”選項表示希望將網站添加到Chrome的HSTS預加載列表中。然後.htaccess中的響應標頭應如下所示:

Strict-Transport-Security: max-age=63072000; includeSubDomains; preload

我們建議您將網站添加到hstspreload.org網站. 這些要求很容易滿足,這將有助於保護網站的訪問者,並有可能提高網站的搜索引擎排名。

  • 發表於 2021-03-22 16:41
  • 閱讀 ( 51 )
  • 分類:安全

你可能感興趣的文章

什麼是埠掃描?它是如何工作的?

...工作。網路管理員和駭客都熱衷於掃描這些埠的弱點,但什麼是埠,人們為什麼要掃描它們? ...

  • 發佈於 2021-03-11 09:00
  • 閲讀 ( 52 )

保護您的wordpress部落格免受此chrome字型攻擊

...抓住觀眾的心,寫部落格是很賺錢的。這也取決於你在寫什麼。然而,無論你每月瀏覽量是1000萬,還是隻有10萬,你的部落格可能仍然是駭客攻擊的目標。 ...

  • 發佈於 2021-03-15 12:20
  • 閲讀 ( 63 )

你的sim卡被駭客攻擊的兩種方式(以及如何保護它)

...我們將向您展示駭客使用SIM卡訪問裝置的一些方法,以及如何保護SIM卡安全的建議。 ...

  • 發佈於 2021-03-18 01:51
  • 閲讀 ( 281 )

什麼是資料洩露?您如何保護自己?

... 那麼什麼是資料洩露呢?這就是我們將在下面解釋的內容,以及如何保護自己免受未來違規行為的建議。 ...

  • 發佈於 2021-03-18 16:20
  • 閲讀 ( 51 )

檢查網際網路連線安全的5種方法

...”對您沒有任何意義,那麼您不必擔心這一步。相反,為什麼不看看為什麼你需要一個VPN的一些原因,以及它意味著什麼? ...

  • 發佈於 2021-03-18 17:27
  • 閲讀 ( 50 )

是的,VPN可以被入侵:這對你的隱私意味著什麼

... 以下是vpn如何被駭客攻擊以及它對您的隱私意味著什麼。 ...

  • 發佈於 2021-03-18 19:25
  • 閲讀 ( 52 )

為什麼道德駭客是合法的,為什麼我們需要它

... 什麼是“道德駭客”("ethical hacking")? ...

  • 發佈於 2021-03-19 05:01
  • 閲讀 ( 58 )

iphone漏洞如何允許網站入侵ios裝置

... 那麼,網站是如何入侵iPhone的呢?你應該做些什麼來保護自己免受這些駭客攻擊呢?我們有你需要知道的所有細節。 ...

  • 發佈於 2021-03-19 09:53
  • 閲讀 ( 44 )

谷歌的密碼檢查讓你免受駭客攻擊

... 如何使用谷歌的密碼檢查 ...

  • 發佈於 2021-03-22 01:15
  • 閲讀 ( 53 )

藍芽能被入侵嗎?保持藍芽安全的7個技巧

... 什麼是藍本(blueborne)? ...

  • 發佈於 2021-03-28 00:21
  • 閲讀 ( 76 )