Gode nyheter: Microsoft kunngjør støtte for HTTP Strict Transport Security i Internet Explorer, vil bli lagt til i Project Spartan senere
2 min. lese
Publisert på
Les vår avsløringsside for å finne ut hvordan du kan hjelpe MSPoweruser opprettholde redaksjonen Les mer
Microsoft kunngjorde i dag støtte for HTTP Strict Transport Security (HSTS) i Internet Explorer. Dette er allerede en del av Internet Explorer i Windows 10 Technical Preview, og det vil også komme til Project Spartan i en senere oppdatering.
HSTS-spesifikasjonen definerer en mekanisme som gjør det mulig for nettsteder å erklære seg tilgjengelige kun via sikre tilkoblinger og/eller for at brukere skal kunne henvise brukeragenten(e) til å samhandle med gitte nettsteder kun over sikre tilkoblinger. Denne generelle policyen omtales som HTTP Strict Transport Security (HSTS). Retningslinjene er deklarert av nettsteder via Strict-Transport-Security HTTP-svarhodefeltet og/eller på andre måter, for eksempel brukeragentkonfigurasjon.
Denne funksjonen beskytter mot varianter av mann-i-midten-angrep som kan fjerne TLS fra kommunikasjon med en server, og gjøre brukeren sårbar.
HSTS tilbyr to metoder for nettsteder for å sikre tilkoblinger:
- Registrering for en forhåndsinnlastningsliste: nettsteder kan registrere seg for å bli hardkodet av IE og andre nettlesere for å omdirigere HTTP-trafikk til HTTPS. Kommunikasjon med disse nettstedene fra den første tilkoblingen oppgraderes automatisk for å være sikker. I likhet med andre nettlesere som har implementert denne funksjonen, er Internet Explorers forhåndsinnlastningsliste basert på Chromium HSTS forhåndsinnlastningsliste.
- Viser en HSTS-header: Nettsteder som ikke er på forhåndsinnlastningslisten kan aktivere HSTS via Streng-Transport-Sikkerhet HTTP-overskrift. Etter en innledende HTTPS-tilkobling fra klienten som inneholder HSTS-headeren, blir eventuelle påfølgende HTTP-tilkoblinger omdirigert av nettleseren for å sikres via HTTPS.
Les mer om det her..