Dobré zprávy: Microsoft oznamuje podporu pro HTTP Strict Transport Security v Internet Exploreru, později bude přidán do Project Spartan

Microsoft dnes oznámil podporu pro Přísné zabezpečení přenosu HTTP (HSTS) v Internet Exploreru. To je již součástí Internet Exploreru v technickém náhledu Windows 10 a v pozdější aktualizaci přijde i na Project Spartan.

Specifikace HSTS definuje mechanismus, který umožňuje webovým stránkám deklarovat, že jsou přístupné pouze prostřednictvím zabezpečeného připojení a/nebo aby uživatelé mohli nasměrovat své uživatelské agenty k interakci s danými stránkami pouze prostřednictvím zabezpečeného připojení. Tato celková zásada se nazývá HTTP Strict Transport Security (HSTS). Zásadu deklarují webové stránky prostřednictvím pole hlavičky HTTP odpovědi Strict-Transport-Security a/nebo jinými prostředky, jako je například konfigurace uživatelského agenta.

Tato funkce chrání před variantami útoků typu man-in-the-middle, které mohou odstranit TLS z komunikace se serverem, takže uživatel zůstane zranitelný.

HSTS poskytuje webům dvě metody k zabezpečení jejich připojení:

• Registrace pro seznam předběžného načtení: webové stránky se mohou zaregistrovat, aby byly napevno kódovány IE a dalšími prohlížeči a přesměrovaly provoz HTTP na HTTPS. Komunikace s těmito webovými stránkami od počátečního připojení je automaticky upgradována, aby byla zabezpečená. Stejně jako ostatní prohlížeče, které tuto funkci implementovaly, je seznam předběžného načtení aplikace Internet Explorer založen na prohlížeči Chromium Seznam předběžného načtení HSTS.
• Poskytování záhlaví HSTS: Stránky, které nejsou na seznamu předběžného načtení, mohou povolit HSTS prostřednictvím Přísná doprava-bezpečnost HTTP hlavička. Po počátečním připojení HTTPS od klienta obsahujícího hlavičku HSTS jsou všechna následná připojení HTTP přesměrována prohlížečem, aby byla zabezpečena prostřednictvím HTTPS.

Přečtěte si více o tom zde.