Хороші новини: Microsoft оголошує про підтримку HTTP Strict Transport Security в Internet Explorer, яка буде додана в Project Spartan пізніше

Microsoft сьогодні оголосила про підтримку HTTP Strict Transport Security (HSTS) в Internet Explorer. Це вже є частиною Internet Explorer у Windows 10 Technical Preview, а також з’явиться в Project Spartan у наступному оновленні.

Специфікація HSTS визначає механізм, який дозволяє веб-сайтам оголошувати себе доступними лише через захищені з’єднання та/або для користувачів, щоб мати можливість спрямовувати свої агенти користувача для взаємодії з даними сайтами лише через захищені з’єднання. Ця загальна політика називається HTTP Strict Transport Security (HSTS). Політика оголошується веб-сайтами через поле заголовка HTTP-відповіді Strict-Transport-Security та/або іншими засобами, наприклад, конфігурацією агента користувача.

Ця функція захищає від різновидів атак типу «людина посередині», які можуть позбавити TLS зв’язку із сервером, залишаючи користувача вразливим.

HSTS надає сайтам два методи захисту своїх з’єднань:

• Реєстрація для списку попереднього завантаження: веб-сайти можуть реєструватися для жорсткого кодування в IE та інших браузерах для перенаправлення HTTP-трафіку на HTTPS. Зв’язок із цими веб-сайтами від початкового з’єднання автоматично оновлюється, щоб бути безпечним. Подібно до інших браузерів, які реалізували цю функцію, список попереднього завантаження Internet Explorer базується на Chromium Список попереднього завантаження HSTS.
• Обслуговування заголовка HSTS: Сайти, яких немає в списку попереднього завантаження, можуть увімкнути HSTS через Строгий-Транспорт-Безпека HTTP-заголовок. Після початкового з’єднання HTTPS від клієнта, що містить заголовок HSTS, будь-які наступні з’єднання HTTP перенаправляються браузером для захисту через HTTPS.

Детальніше про це тут.