Çfarë është HSTS?

HSTS është një titull i përgjigjes së sigurisë në ueb. Emri është një akronim për "HTTP Strict Transport Security". Funksioni i titullit HSTS është të detyrojë shfletuesit të lidhen me faqet e internetit duke përdorur HTTPS.

Këshillë: HTTPS përdor enkriptimin për të siguruar lidhjen tuaj të internetit nga hakerët që përpiqen ta modifikojnë ose monitorojnë atë. HTTP nuk i ka këto mbrojtje dhe kështu një haker në vendin e duhur mund të monitorojë dhe modifikojë trafikun tuaj HTTP.

Një titull i përgjigjes në ueb është një pjesë e meta-të dhënave të dërguara nga serveri kur ai i përgjigjet kërkesave në ueb. Një nëngrup i këtyre titujve shpesh referohen si tituj sigurie pasi qëllimi i tyre është të rrisin sigurinë e faqes së internetit dhe përdoruesit.

Kreu HSTS ka dy pjesë të detyrueshme dhe dy opsionale. Emri i titullit "Strict-Transport-Security" dhe më pas operatori dhe vlera "max-age" janë të dyja të detyrueshme. Një palë tjetër operatorësh, "includeSubDomains" dhe "preload" përdoren gjithashtu ndonjëherë.

Kur shfletuesi merr një përgjigje HTTPS me titullin HSTS, udhëzohet të lidhet me këtë faqe interneti dhe të gjitha burimet në të, duke përdorur ekskluzivisht HTTPS për kohëzgjatjen e kohëmatësit të "moshës maksimale". "Max-mosha" është një variabël që përshkruan se sa kohë duhet të mbahet mend një cilësim nga shfletuesi. Vlera e "moshës maksimale" është shënuar në sekonda, vlera e rekomanduar është "31536000", që është një vit.

Ideja është që brenda kohëzgjatjes së këtij kohëmatësi, i cili rivendoset me çdo ngarkim vijues të faqes, shfletuesi do të kërkojë një lidhje HTTPS dhe do të refuzojë çdo burim HTTP. Kjo mbron nga sulmet e personit në mes, ku një haker midis jush dhe serverit të internetit mund të manipulojë përgjigjet që merrni.

Pika kryesore në të cilën kjo ju mbron është lidhja e parë. Në mënyrë tipike, kur lidheni me një faqe interneti, mund të kërkoni uebsajtin HTTP dhe më pas të përcillet në faqen e internetit HTTPS. Fatkeqësisht, një haker në pozicionin e personit në mes mund të parandalojë këtë përmirësim në HTTPS dhe më pas mund të vjedhë ose monitorojë aktivitetin tuaj në faqen e internetit. Megjithatë, sapo kreu HSTS të jetë parë nga shfletuesi, shfletuesi juaj do të bëjë edhe lidhjen e parë përmes HTTPS, duke ju mbrojtur nga hakerat.

HSTS gjithashtu parandalon ngarkimin e çdo burimi të pasigurt, i cili gjithashtu mund të modifikohet me qëllim të keq nga një sulmues nëse ato do të dorëzohen përmes HTTP.

Operatori "includeSubDomains" përdoret për të treguar se titulli duhet të zbatohet gjithashtu për të gjitha nënfushat e faqes së internetit.

Lista e parangarkesës së HSTS

Ju mund të vini re se HSTS ende nuk ju mbron herën e parë që lidheni me një faqe interneti. Këtu hyn operatori "preload". Faqet e internetit mund të paraqesin veten për t'u përfshirë në listën e parangarkesës HSTS, operatori "preload" është një tregues i kërkuar nëse është kështu. Lista e parangarkimit të HSTS përditësohet rregullisht dhe ruhet në shfletues, nëse një sajt përfshihet në të, atëherë shfletuesi do të zbatojë mbrojtjen e HSTS për të. Kjo ndodh edhe në lidhjen e parë përpara se shfletuesi të mund të kishte parë ndonjëherë kokën e përgjigjes HSTS.

Këshillë: Një "moshë maksimale" prej një viti ose më shumë kërkohet për t'u shtuar në listën e parangarkimit të HSTS. 

Probleme me HSTS

Një nga pikat kryesore të HSTS është se ai paraqet një mesazh gabimi nëse ka ndonjë problem me lidhjen HTTPS. Si një masë paraprake shtesë sigurie, përdoruesit nuk supozohet të jenë në gjendje të anashkalojnë mesazhet e gabimit HSTS, siç do të ishin në gjendje të bënin me gabime normale HTTPS.

Fatkeqësisht, kjo mund të shkaktojë probleme nëse një kompani nxjerr HSTS përpara të gjithë faqes së internetit dhe çdo burim i përdorur në të, mbështet HTTPS. Në këtë rast, përdoruesit do të fillojnë të shohin mesazhe gabimi të sigurisë HSTS që nuk mund t'i anashkalojnë, duke thyer në thelb plotësisht faqen e internetit. Pjesa më e keqe është se thjesht heqja e kokës së HSTS nuk e zgjidh problemin për ata përdorues, pasi shfletuesi i tyre do të vazhdojë të zbatojë HSTS për "moshën maksimale" potencialisht mujore.

Si e tillë, është jashtëzakonisht e rëndësishme që të përdoret një "max-moshë" e shkurtër kur vendoset fillimisht koka. Nëse ka ndonjë problem, atëherë ato vazhdojnë vetëm për një kohë të shkurtër pasi të zbulohen. Vetëm pasi të jeni të sigurt se faqja juaj e internetit është plotësisht në përputhje me HSTS, duhet të konfiguroni një kohëmatës të gjatë HSTS.

Këshillë: Është gjithashtu e mundur të vendosni një "moshë maksimale" prej 0, kjo në thelb heq hyrjen e ruajtur HSTS nga kushdo që e sheh atë. Kjo mund të ndihmojë nëse ka një problem, por do të prekë përdoruesit vetëm kur dhe nëse vendosin të provojnë përsëri.