HSTS е заглавка за отговор на уеб сигурността. Името е съкращение от "HTTP Strict Transport Security". Функцията на HSTS заглавката е да принуди браузърите да се свързват с уебсайтове, използващи HTTPS.
Съвет: HTTPS използва криптиране, за да защити вашата уеб връзка от хакери, които се опитват да я променят или наблюдават. HTTP няма тези защити и така хакер на правилното място може да наблюдава и променя вашия HTTP трафик.
Заглавката на уеб отговора е част от метаданни, изпратени от сървъра, когато отговаря на уеб заявки. Подмножество от тези заглавки често се наричат заглавки за сигурност, тъй като тяхната цел е да повишат сигурността на уебсайта и потребителя.
HSTS заглавката има две задължителни части и две незадължителни. Името на заглавката „Strict-Transport-Security“ и след това операторът и стойността „max-age“ са задължителни. Друга двойка оператори, „includeSubDomains“ и „preload“ също понякога се използват.
Когато браузърът получи HTTPS отговор с HSTS заглавката, той получава инструкции да се свърже с този уебсайт и всички ресурси на него, като се използва изключително HTTPS за времето на таймера „max-age“. „Max-age“ е променлива, която описва колко дълго дадена настройка трябва да бъде запомнена от браузъра. Стойността на “max-age” е посочена в секунди, препоръчителната стойност е “31536000”, което е една година.
Идеята е, че в рамките на продължителността на този таймер, който се нулира при всяко следващо зареждане на страница, браузърът ще изисква HTTPS връзка и ще отхвърли всякакви HTTP ресурси. Това предпазва от атаки на човек в средата, при които хакер между вас и уеб сървъра може да манипулира получените от вас отговори.
Основната точка, в която това ви защитава, е първата връзка. Обикновено, когато се свържете с уебсайт, можете да поискате HTTP уебсайта и след това да бъдете препратени към HTTPS уебсайта. За съжаление, хакер в позиция човек в средата може да предотврати това надграждане до HTTPS и след това може да открадне или следи вашата активност на уебсайта. След като заглавката на HSTS бъде видяна от браузъра обаче, вашият браузър ще направи дори първата връзка през HTTPS, предпазвайки ви от хакери.
HSTS също така предотвратява зареждането на всякакви несигурни ресурси, които също могат да бъдат злонамерено променени от нападател, ако бъдат доставени през HTTP.
Операторът „includeSubDomains“ се използва, за да посочи, че заглавката трябва да се прилага и за всички поддомейни на уебсайта.
Може да забележите, че HSTS все още не ви защитава още при първия път, когато се свържете с уебсайт. Тук се намесва операторът „предварително зареждане“. Уебсайтовете могат да се представят за включване в списъка за предварително зареждане на HSTS, операторът „предварително зареждане“ е задължителен индикатор, ако това е така. Списъкът за предварително зареждане на HSTS се актуализира редовно и се съхранява в браузъра, ако даден сайт е включен в него, тогава браузърът ще приложи HSTS защитите към него. Това се случва дори при първата връзка, преди браузърът да е успял да види заглавката на HSTS отговора.
Съвет: Изисква се „максимална възраст“ от година или повече, за да се добави към списъка за предварително зареждане на HSTS.
Една от основните точки на HSTS е, че той представя съобщение за грешка, ако има проблеми с HTTPS връзката. Като допълнителна предпазна мярка, потребителите не би трябвало да могат да заобикалят съобщенията за грешки при HSTS, както биха могли при нормални HTTPS грешки.
За съжаление, това може да причини проблеми, ако една компания пусне HSTS преди целия уебсайт и всеки ресурс, използван в него, поддържа HTTPS. В този случай потребителите ще започнат да виждат съобщения за грешка в сигурността на HSTS, които не могат да заобиколят, като по същество напълно нарушават уебсайта. Най-лошото е, че простото премахване на заглавката на HSTS не решава проблема за тези потребители, тъй като браузърът им ще продължи да налага HSTS за потенциално продължилата месеци „max-age“.
Поради това е изключително важно при първото разгръщане на заглавката да се използва кратка „max-age“. Ако има някакви проблеми, те продължават само за кратко време, след като бъдат открити. Само след като сте сигурни, че вашият уебсайт е напълно съвместим с HSTS, трябва да конфигурирате дълъг HSTS таймер.
Съвет: Възможно е също да зададете „max-age“ от 0, това по същество премахва запазения HSTS запис от всеки, който го види. Това може да помогне, ако има проблем, но ще засегне потребителите само когато и ако решат да опитат отново.
Откритото първенство на САЩ се завръща в Националния тенис център USTA Billie Jean King в Ню Йорк за своето 143-то издание. Стотици играчи ще се борят за шампионския трофей и дял от наградния фонд от 65 милиона долара.
Знаете ли, че Facebook навърши 17 години през 2023 г. Времето лети и вашият Facebook акаунт може да е по-стар, отколкото си мислите.
Постоянно ли получавате
Абонаментът за Adobe Creative Cloud ви дава достъп до облачни инструменти, като Adobe Photoshop или Illustrator, за да изведете творческите си произведения на следващото ниво. Въпреки това, приложенията на Creative Cloud не винаги могат да ви помогнат с това, от което се нуждаете за определени проекти, а в днешно време имаме много алтернативи на Adobe, включително безплатни като Gimp.
Чували ли сте, че можете да „закачите“ видеоклипове или коментари в TikTok, но не сте сигурни какво точно означава това? Тук ще обясним функцията за закачване и как да я използвате в TikTok.
Запален гледач ли сте на HBO Max, но не можете да си спомните паролата си? Не се паникьосвайте.
Ако сте заредили устройството си достатъчно, че вече не ви е необходим режимът за пестене на батерията, или просто искате устройството ви да работи с максимален капацитет, лесно е да изключите режима за пестене на енергия на вашите устройства с Microsoft Windows 11, Windows 10, macOS, Android, iOS и iPadOS. Ще ви покажем как да направите това на вашия настолен компютър или мобилно устройство.
Опитвате се да влезете в акаунта си в Snapchat, само за да бъдете посрещнати със съобщение за грешка и код C14A. Сървърите на платформата може да не работят, което причинява проблеми с влизането навсякъде.
Instagram е популярна платформа за споделяне на снимки, видеоклипове и съобщения, но има един недостатък - нежелани взаимодействия. Може да искате малко спокойствие от съобщенията, които получавате, но ако отворите директно съобщение, подателят ще разбере, че сте го прочели веднага.
Продължаваш ли да получаваш
