Dobré správy: Microsoft oznamuje podporu pre HTTP Strict Transport Security v Internet Exploreri, neskôr bude pridaný do Project Spartan

Microsoft dnes oznámil podporu pre Prísna bezpečnosť prenosu HTTP (HSTS) v programe Internet Explorer. Toto je už súčasťou Internet Explorera v technickom náhľade Windows 10 a v neskoršej aktualizácii príde aj na Project Spartan.

Špecifikácia HSTS definuje mechanizmus, ktorý umožňuje webovým stránkam deklarovať, že sú prístupné iba prostredníctvom zabezpečeného pripojenia a/alebo aby používatelia mohli nasmerovať svojich používateľských agentov na interakciu s danými stránkami iba cez zabezpečené pripojenia. Táto celková politika sa označuje ako HTTP Strict Transport Security (HSTS). Politiku deklarujú webové stránky prostredníctvom poľa hlavičky odpovede HTTP Strict-Transport-Security a/alebo inými prostriedkami, ako je napríklad konfigurácia používateľského agenta.

Táto funkcia chráni pred variantmi útokov typu man-in-the-middle, ktoré môžu odstrániť TLS z komunikácie so serverom, čím sa používateľ stane zraniteľným.

HSTS poskytuje webom dve metódy na zabezpečenie ich pripojení:

• Registrácia do zoznamu predbežného načítania: webové stránky sa môžu zaregistrovať, aby ich IE a iné prehliadače napevno zakódovali, aby presmerovali prenos HTTP na HTTPS. Komunikácia s týmito webovými stránkami od prvého pripojenia sa automaticky aktualizuje, aby bola zabezpečená. Rovnako ako ostatné prehliadače, ktoré implementovali túto funkciu, zoznam predbežného načítania prehliadača Internet Explorer je založený na prehliadači Chromium Zoznam predbežného načítania HSTS.
• Poskytovanie hlavičky HSTS: Stránky, ktoré nie sú na zozname predbežného načítania, môžu povoliť HSTS cez Prísne zabezpečenie dopravy HTTP hlavička. Po úvodnom pripojení HTTPS od klienta, ktoré obsahuje hlavičku HSTS, sú všetky následné pripojenia HTTP presmerované prehliadačom, aby boli zabezpečené prostredníctvom HTTPS.

Prečítajte si viac o tom tu.