Хорошие новости: Microsoft объявляет о поддержке HTTP Strict Transport Security в Internet Explorer, позже она будет добавлена ​​в Project Spartan

Сегодня Microsoft объявила о поддержке HTTP Strict Transport Security (HSTS) в Internet Explorer. Это уже часть Internet Explorer в Windows 10 Technical Preview, а также появится в Project Spartan в более позднем обновлении.

Спецификация HSTS определяет механизм, позволяющий веб-сайтам объявлять себя доступными только через безопасные соединения и/или позволять пользователям направлять своих пользовательских агентов для взаимодействия с данными сайтами только через безопасные соединения. Эта общая политика называется HTTP Strict Transport Security (HSTS). Политика объявляется веб-сайтами через поле заголовка HTTP-ответа Strict-Transport-Security и/или другими способами, такими как, например, конфигурация пользовательского агента.

Эта функция защищает от вариантов атак «человек посередине», которые могут лишить TLS связи с сервером, оставив пользователя уязвимым.

HSTS предоставляет сайтам два метода защиты своих соединений:

• Регистрация в списке предварительной загрузки: веб-сайты могут регистрироваться для жесткого кодирования IE и другими браузерами для перенаправления HTTP-трафика на HTTPS. Связь с этими веб-сайтами с момента первоначального подключения автоматически обновляется для обеспечения безопасности. Как и в других браузерах, в которых реализована эта функция, список предварительной загрузки Internet Explorer основан на Chromium. Список предварительной загрузки HSTS.
• Обслуживание заголовка HSTS: Сайты, не включенные в список предварительной загрузки, могут включить HSTS через Строгий-Transport-Security HTTP-заголовок. После первоначального HTTPS-подключения от клиента, содержащего заголовок HSTS, все последующие HTTP-подключения перенаправляются браузером для защиты через HTTPS.

Подробнее об этом здесь.