Hyviä uutisia: Microsoft ilmoittaa tukevansa Internet Explorerin HTTP Strict Transport -suojausta, joka lisätään Project Spartan -ohjelmaan myöhemmin

Microsoft ilmoitti tänään tuesta HTTP Strict Transport Security (HSTS) Internet Explorerissa. Tämä on jo osa Internet Exploreria Windows 10:n teknisessä esikatselussa, ja se tulee myös Project Spartaniin myöhemmässä päivityksessä.

HSTS-spesifikaatio määrittelee mekanismin, jonka avulla web-sivustot voivat ilmoittaa olevansa käytettävissä vain suojattujen yhteyksien kautta ja/tai käyttäjät voivat ohjata käyttäjäagenttinsa olemaan vuorovaikutuksessa tiettyjen sivustojen kanssa vain suojattujen yhteyksien kautta. Tätä yleistä käytäntöä kutsutaan HTTP Strict Transport Security (HSTS) -suojaukseksi. Verkkosivustot ilmoittavat käytännön Strict-Transport-Security HTTP-vastausotsikkokentän kautta ja/tai muilla tavoilla, kuten esimerkiksi käyttäjäagentin määrityksellä.

Tämä ominaisuus suojaa muunnelmilta man-in-the-middle-hyökkäyksiltä, ​​jotka voivat estää TLS:n yhteydenpidosta palvelimen kanssa jättäen käyttäjän haavoittuvaiseksi.

HSTS tarjoaa sivustoille kaksi tapaa suojata yhteydet:

• Rekisteröityminen esilatauslistalle: Web-sivustot voivat rekisteröityä IE:n ja muiden selaimien kovakoodataviksi ohjatakseen HTTP-liikenteen HTTPS:ään. Viestintä näiden verkkosivustojen kanssa alkuperäisestä yhteydestä päivitetään automaattisesti turvalliseksi. Kuten muutkin selaimet, jotka ovat ottaneet käyttöön tämän ominaisuuden, Internet Explorerin esilatausluettelo perustuu Chromiumiin HSTS-esilatausluettelo.
• HSTS-otsikon näyttäminen: Sivustot, jotka eivät ole esilatausluettelossa, voivat ottaa HSTS:n käyttöön Tiukka liikenneturvallisuus HTTP-otsikko. HSTS-otsikon sisältävän asiakkaan ensimmäisen HTTPS-yhteyden jälkeen selain ohjaa kaikki myöhemmät HTTP-yhteydet suojattaviksi HTTPS:n kautta.

Lue lisää tätä.