Gode ​​nyheter: Microsoft kunngjør støtte for HTTP Strict Transport Security i Internet Explorer, vil bli lagt til i Project Spartan senere

Microsoft kunngjorde i dag støtte for HTTP Strict Transport Security (HSTS) i Internet Explorer. Dette er allerede en del av Internet Explorer i Windows 10 Technical Preview, og det vil også komme til Project Spartan i en senere oppdatering.

HSTS-spesifikasjonen definerer en mekanisme som gjør det mulig for nettsteder å erklære seg tilgjengelige kun via sikre tilkoblinger og/eller for at brukere skal kunne henvise brukeragenten(e) til å samhandle med gitte nettsteder kun over sikre tilkoblinger. Denne generelle policyen omtales som HTTP Strict Transport Security (HSTS). Retningslinjene er deklarert av nettsteder via Strict-Transport-Security HTTP-svarhodefeltet og/eller på andre måter, for eksempel brukeragentkonfigurasjon.

Denne funksjonen beskytter mot varianter av mann-i-midten-angrep som kan fjerne TLS fra kommunikasjon med en server, og gjøre brukeren sårbar.

HSTS tilbyr to metoder for nettsteder for å sikre tilkoblinger:

• Registrering for en forhåndsinnlastningsliste: nettsteder kan registrere seg for å bli hardkodet av IE og andre nettlesere for å omdirigere HTTP-trafikk til HTTPS. Kommunikasjon med disse nettstedene fra den første tilkoblingen oppgraderes automatisk for å være sikker. I likhet med andre nettlesere som har implementert denne funksjonen, er Internet Explorers forhåndsinnlastningsliste basert på Chromium HSTS forhåndsinnlastningsliste.
• Viser en HSTS-header: Nettsteder som ikke er på forhåndsinnlastningslisten kan aktivere HSTS via Streng-Transport-Sikkerhet HTTP-overskrift. Etter en innledende HTTPS-tilkobling fra klienten som inneholder HSTS-headeren, blir eventuelle påfølgende HTTP-tilkoblinger omdirigert av nettleseren for å sikres via HTTPS.

Les mer om det her..