Jó hír: A Microsoft bejelentette, hogy támogatja a HTTP szigorú szállítási biztonságot az Internet Explorerben, amely később bekerül a Project Spartanba

A Microsoft ma bejelentette a támogatását HTTP szigorú szállítási biztonság (HSTS) az Internet Explorerben. Ez már az Internet Explorer része a Windows 10 Technical Preview-ban, és egy későbbi frissítésben a Project Spartanba is bekerül.

A HSTS specifikáció olyan mechanizmust határoz meg, amely lehetővé teszi a webhelyek számára, hogy csak biztonságos kapcsolatokon keresztül elérhetővé nyilvánítsák magukat, és/vagy a felhasználók irányíthassák felhasználói ügynökeiket, hogy csak biztonságos kapcsolatokon keresztül lépjenek kapcsolatba adott webhelyekkel. Ezt az általános szabályzatot HTTP szigorú szállítási biztonságnak (HSTS) nevezik. A házirendet a webhelyek deklarálják a Strict-Transport-Security HTTP válaszfejléc mezőjében és/vagy más módon, például a felhasználói ügynök konfigurációjával.

Ez a funkció védelmet nyújt a köztes támadások olyan változatai ellen, amelyek megszakíthatják a TLS-t a szerverrel való kommunikációtól, így a felhasználó sebezhetővé válik.

A HSTS két módszert kínál a webhelyek kapcsolatának biztosítására:

• Regisztráció az előtöltési listára: A webhelyek regisztrálhatnak az IE és más böngészők általi hardkódolásra, hogy a HTTP forgalmat HTTPS-re irányítsák át. Az ezekkel a webhelyekkel a kezdeti kapcsolatból származó kommunikáció automatikusan biztonságossá válik. Más böngészőkhöz hasonlóan, amelyek megvalósították ezt a funkciót, az Internet Explorer előbetöltési listája a Chromiumon alapul HSTS előtöltési lista.
• HSTS-fejléc kiszolgálása: Az előtöltési listán nem szereplő webhelyek engedélyezhetik a HSTS-t a következőn keresztül Szigorú közlekedési biztonság HTTP fejléc. A HSTS-fejlécet tartalmazó kliens kezdeti HTTPS-kapcsolata után a böngésző minden további HTTP-kapcsolatot átirányít a HTTPS-en keresztüli biztonságba.

További részletek itt.