Dobre vijesti: Microsoft najavljuje podršku za HTTP strogu sigurnost transporta u Internet Exploreru, kasnije će biti dodan u Project Spartan

Microsoft je danas najavio podršku za HTTP stroga sigurnost transporta (HSTS) u Internet Exploreru. Ovo je već dio Internet Explorera u Windows 10 Technical Preview, a također će doći u Project Spartan u kasnijem ažuriranju.

HSTS specifikacija definira mehanizam koji omogućuje web stranicama da se proglase dostupnima samo putem sigurnih veza i/ili da korisnici mogu usmjeriti svoje korisničke agente na interakciju s danim stranicama samo preko sigurnih veza. Ovo cjelokupno pravilo se naziva HTTP Strict Transport Security (HSTS). Pravilo se deklarira od strane web-mjesta putem polja zaglavlja HTTP odgovora Strict-Transport-Security i/ili na druge načine, kao što je konfiguracija korisničkog agenta, na primjer.

Ova značajka štiti od varijanti napada čovjeka u sredini koji mogu lišiti TLS komunikacije s poslužiteljem, ostavljajući korisnika ranjivim.

HSTS nudi dvije metode za web stranice za osiguranje svojih veza:

• Registracija za popis unaprijed učitavanja: web-mjesta se mogu registrirati da ih IE i drugi preglednici hardkodiraju za preusmjeravanje HTTP prometa na HTTPS. Komunikacija s tim web stranicama od početne veze automatski se nadograđuje kako bi bila sigurna. Kao i drugi preglednici koji su implementirali ovu značajku, popis za prethodno učitavanje Internet Explorera temelji se na Chromiumu HSTS popis predučitavanja.
• Posluživanje HSTS zaglavlja: Stranice koje nisu na popisu za predučitavanje mogu omogućiti HSTS putem Stroga-Transport-Sigurnost HTTP zaglavlje. Nakon početne HTTPS veze od klijenta koja sadrži HSTS zaglavlje, sve naknadne HTTP veze preglednik preusmjerava kako bi se osigurale putem HTTPS-a.

Pročitajte više o tome ovdje.