Tin tốt: Microsoft thông báo hỗ trợ bảo mật truyền tải nghiêm ngặt HTTP trong Internet Explorer, sẽ được thêm vào Project Spartan sau này

Microsoft hôm nay đã công bố hỗ trợ cho Bảo mật truyền tải nghiêm ngặt HTTP (HSTS) trong Internet Explorer. Đây đã là một phần của Internet Explorer trong Windows 10 Technical Preview và nó cũng sẽ đến với Project Spartan trong bản cập nhật sau.

Đặc tả HSTS xác định một cơ chế cho phép các trang web tự khai báo chỉ có thể truy cập thông qua các kết nối an toàn và / hoặc để người dùng có thể chỉ đạo (các) tác nhân người dùng của họ chỉ tương tác với các trang web nhất định qua các kết nối an toàn. Chính sách tổng thể này được gọi là Bảo mật truyền tải nghiêm ngặt HTTP (HSTS). Chính sách được các trang web khai báo thông qua trường tiêu đề phản hồi HTTP nghiêm ngặt-Vận chuyển-Bảo mật và / hoặc bằng các phương tiện khác, chẳng hạn như cấu hình tác nhân người dùng, chẳng hạn.

Tính năng này bảo vệ khỏi các biến thể của các cuộc tấn công trung gian có thể loại bỏ TLS ra khỏi liên lạc với máy chủ, khiến người dùng dễ bị tấn công.

HSTS cung cấp hai phương pháp để các trang web bảo mật kết nối của chúng:

• Đăng ký danh sách tải trước: các trang web có thể đăng ký để được mã hóa cứng bởi IE và các trình duyệt khác để chuyển hướng lưu lượng HTTP sang HTTPS. Giao tiếp với các trang web này từ kết nối ban đầu sẽ tự động được nâng cấp để an toàn. Giống như các trình duyệt khác đã triển khai tính năng này, danh sách tải trước của Internet Explorer dựa trên Chromium Danh sách tải trước HSTS.
• Cung cấp tiêu đề HSTS: Các trang web không có trong danh sách tải trước có thể bật HSTS thông qua Vận chuyển-An ninh nghiêm ngặt Tiêu đề HTTP. Sau kết nối HTTPS ban đầu từ máy khách có chứa tiêu đề HSTS, mọi kết nối HTTP tiếp theo sẽ được trình duyệt chuyển hướng để được bảo mật qua HTTPS.

Tìm hiểu thêm về nó tại đây.