Dobra wiadomość: Microsoft ogłasza wsparcie dla ścisłych zabezpieczeń transportu HTTP w Internet Explorerze, zostanie dodany później do projektu Spartan

Microsoft ogłosił dziś wsparcie dla Ścisłe zabezpieczenia transportu HTTP (HSTS) w Internet Explorerze. Jest to już część Internet Explorera w Windows 10 Technical Preview, a w późniejszej aktualizacji pojawi się również w Project Spartan.

Specyfikacja HSTS definiuje mechanizm umożliwiający stronom internetowym deklarowanie, że są dostępne tylko za pośrednictwem bezpiecznych połączeń i/lub użytkownikom, aby mogli kierować swoich agentów użytkownika do interakcji z określonymi witrynami tylko za pośrednictwem bezpiecznych połączeń. Ta ogólna zasada jest określana jako HTTP Strict Transport Security (HSTS). Polityka jest deklarowana przez witryny internetowe za pomocą pola nagłówka odpowiedzi HTTP Strict-Transport-Security i/lub innymi sposobami, takimi jak na przykład konfiguracja agenta użytkownika.

Ta funkcja chroni przed wariantami ataków typu man-in-the-middle, które mogą odciąć TLS od komunikacji z serwerem, narażając użytkownika na niebezpieczeństwo.

HSTS zapewnia witrynom dwie metody zabezpieczania połączeń:

• Rejestracja w celu uzyskania listy wstępnie załadowanych: strony internetowe mogą zarejestrować się w celu zakodowania przez IE i inne przeglądarki w celu przekierowywania ruchu HTTP na HTTPS. Komunikacja z tymi witrynami z początkowego połączenia jest automatycznie aktualizowana w celu zapewnienia bezpieczeństwa. Podobnie jak inne przeglądarki, które zaimplementowały tę funkcję, lista wstępnego ładowania Internet Explorera jest oparta na Chromium Lista wstępnego ładowania HSTS.
• Udostępnianie nagłówka HSTS: Witryny, których nie ma na liście wstępnego ładowania, mogą włączyć HSTS za pomocą Ścisłe bezpieczeństwo transportu Nagłówek HTTP. Po początkowym połączeniu HTTPS od klienta zawierającym nagłówek HSTS, wszelkie kolejne połączenia HTTP są przekierowywane przez przeglądarkę w celu zabezpieczenia przez HTTPS.

Przeczytaj więcej na ten temat tutaj.