Goda nyheter: Microsoft tillkännager stöd för HTTP Strict Transport Security i Internet Explorer, kommer att läggas till i Project Spartan senare

Microsoft tillkännagav idag stödet för HTTP strikt transportsäkerhet (HSTS) i Internet Explorer. Detta är redan en del av Internet Explorer i Windows 10 Technical Preview, och det kommer även till Project Spartan i en senare uppdatering.

HSTS-specifikationen definierar en mekanism som gör det möjligt för webbplatser att förklara sig tillgängliga endast via säkra anslutningar och/eller för att användare ska kunna styra sina användaragent(er) att interagera med givna webbplatser endast via säkra anslutningar. Denna övergripande policy kallas HTTP Strict Transport Security (HSTS). Policyn deklareras av webbplatser via fältet Strict-Transport-Security HTTP-svarsrubrik och/eller på annat sätt, som t.ex. användaragentkonfiguration.

Den här funktionen skyddar mot varianter av man-in-the-middle-attacker som kan ta bort TLS från kommunikation med en server, vilket gör användaren sårbar.

HSTS tillhandahåller två metoder för webbplatser att säkra sina anslutningar:

• Registrering för en förladdningslista: webbplatser kan registrera sig för att hårdkodas av IE och andra webbläsare för att omdirigera HTTP-trafik till HTTPS. Kommunikation med dessa webbplatser från den första anslutningen uppgraderas automatiskt för att vara säker. Precis som andra webbläsare som har implementerat den här funktionen är Internet Explorers förladdningslista baserad på Chromium HSTS förladdningslista.
• Visa en HSTS-rubrik: Webbplatser som inte finns på förladdningslistan kan aktivera HSTS via Strikt-Transport-Säkerhet HTTP-huvud. Efter en initial HTTPS-anslutning från klienten som innehåller HSTS-huvudet, omdirigeras alla efterföljande HTTP-anslutningar av webbläsaren för att säkras via HTTPS.

Läs mer om det här..