it-swarm-tr.com

HTTPS üzerinden HSTS ekstra güvenlik

HSTS Sunucularım HTTPS kullanacak şekilde yapılandırılmış olsa bile kullanımı iyi mi (HTTP kullanıldığında, Apache'deki yeniden yazma kuralları HTTPS'ye dönüştürüyor)?

Ayrıca HSTS, CSS ve resimler gibi kaynaklarda veya yalnızca içerik türü metin/html olduğunda mı kullanılmalıdır?

28
Novice User

Evet, SSL site çapında kullanıyorsanız, HSTS özelliğini etkinleştirmenizi kesinlikle öneririz.

HSTS, kullanıcıyı http'ye geçiren ve daha sonra kullanıcıya saldıran ortadaki adam saldırılarını yenmek için önemli bir güvenlik önlemidir. Örneğin, sslstrip böyle bir saldırıyı gerçekleştirmek için iyi bilinen bir araçtır. Bu tür bir saldırı hakkında daha fazla ayrıntı için aşağıdaki sorulara bakın: sslstrip saldırısını nasıl önleyebilirim? , SSLstrip'e karşı savunma yaparken seçenekler? ve bu cevap .

HSTS tarayıcıya şunu söyler: bu siteyle asla HTTP kullanmayın. Yalnızca HTTPS üzerinden erişin. Bu nedenle, HSTS'yi etkinleştirmek için sitenizin HTTPS ve yalnızca HTTPS ile çalıştığından emin olmalısınız. Bu her şeyi içerir: HTML, CSS, Javascript, her şey. Sitenizdeki tüm CSS ve Javascript'in HTTPS üzerinden kullanılabildiğinden emin olun. Ayrıca, sayfalarınızı HTTPS üzerinden her şeye başvuracak şekilde dönüştürmenizi öneririm (sayfalarınızın bazı tarayıcılar için uyarılara veya güvenlik sorunlarına neden olabileceğinden HTTP üzerinden başka bir Javascript veya CSS kaynağı yüklemekten kaçınmanızı öneririm).

Örneğin, sitenizin www.example.com ve bir sayfanız var https://www.example.com/buy.html, sitenizden bazı Javascriptler içerir. Javascript dosyanızın bir HTTPS URL'sinde bulunduğundan emin olmalısınız (ör. https://www.example.com/library.js). Bir HTTPS URL'si aracılığıyla yüklemenizi öneririz (ör. <SCRIPT SRC="https://www.example.com/library.js">).

Not; Ayrıca, kullandığınız tüm çerezlerde secure bayrağını ayarlamanız önerilir.

15
D.W.

Evet, sıkı ulaşım güvenliği gerçek bir fayda sağlar.

HSTS, tarayıcıya yalnızca HTTPS üzerinden sunucu ile iletişim kurmasını söyler. Tarayıcı HSTS üstbilgisini sunucudan ilk gördüğünde bunu hatırlar. Kullanıcı siteyi tekrar ziyaret ettiğinde, tarayıcı tüm iletişimin HTTPS üzerinden yapılmasını zorunlu kılar. Saldırgan, siteye ilk ziyarette başlığı kaldırmazsa bu çalışır.

Bu, kullanıcıya SSL yerine açık metin kaynağı sunan ortadaki adam saldırısı olan SSL sıyırma saldırılarını önler. Normalde kullanıcı uyarılmaz ve çoğu "ortalama" kullanıcı SSL asma kilidinin veya yeşil/mavi vurgulamanın URL çubuğunda gösterilmediğini fark etmez. HSTS durumunda, tarayıcı kullanıcıyı hemen tarayıcının kendi güvenlik ilkesini ihlal etmeye çalıştığı konusunda uyarır.

  1. İstemci, sunucuya açık metin bağlantısı oluşturur.
  2. Sunucu, HSTS üstbilgisi ayarlanmış olarak HTTPS adresine bir yönlendirme ile yanıt verir.
  3. İstemci ve sunucu SSL üzerinden iletişim kurar.
  4. Oturum sona erer.
  5. İstemci daha sonra geri gelir, tarayıcı bu etki alanı için HSTS bayrağını sakladı.
  6. Saldırgan SSL şeridi saldırısı gerçekleştirmeye çalışır ve istemciye açık metin sunar.
  7. Müşteri, HSTS ilkesinin buna izin vermediğini kabul eder ve kullanıcıyı uyarır.

Daha fazla güvenlik için, bazıları HSTS'nin DNSSEC'de bir seçenek olarak uygulanmasını öneriyor, böylece HSTS başlığı DNS aramasının bir parçası olarak ayarlanıyor. DNSSEC önceden dağıtılmış yetki sertifikaları ile güçlü güvenlik sağladığı için, saldırganın siteye ilk ziyarette aktif olarak SSL şeridi almaya çalışsalar bile HSTS mekanizmasını yenmesini zorlaştırır.

22
Polynomial