مکانیزم HSTS چیست و به چه صورت کار میکند ؟
HTTP Strict Transport Security نام کامل مکانیزم HSTS است، که کار آن منتقل کردن اطلاعات امنیت بالا در سطح سیاست های Web policy میباشد. که اطلاعات انتقال داده شده در وب را در مقابل حملات شنود و جمع آوری اطلاعات و ربودن کوکی ها cookie hijacking محفوظ نگه میدارند. پروتکل HSTS این امکان را میدهد که وب سرور ها را از روش شناسایی Broweser ها و با دیگر Agent های کاربر فقط مجوز تبادل اطلاعات از راه HTTPS داشته باشند و توانایی ارتباط HTTP وجود ندارد. کاربران ، درواقع به استفاده کردن از این پروتکل HTTPS احتیاج پیدا میکنند. زمانی که HSTS فعال میشود این دو مورد رخ میدهد :
– به طور دائم از https استفاده میشود حتی اگر آدرس را به شکل http وارد کنید.
– امکان انتخاب کاربر برای وارد شدن به سایت هایی که گواهی SSL invalid دارند حذف میشود
ولی از حیاتی ترین آسیب پذیری هایی که SSL-stripping man-in-the-middle نام دارد با استفاده کردن از HSTS میتوانید از آن جلوگیری کنید. این حمله در 2009 رخ داد حتی برای TLS که بوسیله آن درخواست متصل کردن https به اتصال http تبدیل میشد. استفاده کردن از HSTS توانایی برقرار کردن ارتباط بین شما و سایت مقصد و دیدن اطلاعات و داده های رد و بدل شده را نخواهد داد. HSTS بوسیله سایت های PayPal، Blogspot و Etsy استفاده میشود. همینطور عملیات ذکر شده در مرورگرهای Chrome، Firefox 4 و Opera 23 استفاده میشود. اما IE و Apple safari همچنان به این مکانیزم رو نیاورده اند.
دسته بندی :
