HSTS er en websikkerhedssvarheader. Navnet er et akronym for "HTTP Strict Transport Security". HSTS-headerens funktion er at tvinge browsere til at oprette forbindelse til websteder ved hjælp af HTTPS.
Tip: HTTPS bruger kryptering til at sikre din internetforbindelse mod hackere, der forsøger at ændre eller overvåge den. HTTP har ikke disse beskyttelser, så en hacker på det rigtige sted kan overvåge og ændre din HTTP-trafik.
En webresponsheader er et stykke metadata sendt af serveren, når den reagerer på webanmodninger. En delmængde af disse overskrifter omtales ofte som sikkerhedsoverskrifter, da deres formål er at øge sikkerheden på webstedet og brugeren.
HSTS-headeren har to obligatoriske dele og to valgfrie. Overskriftsnavnet "Strict-Transport-Security" og derefter "max-age"-operatøren og værdien er begge obligatoriske. Et andet par operatører, "includeSubDomains" og "preload" bruges også nogle gange.
Når browseren modtager et HTTPS-svar med HSTS-headeren, bliver den bedt om at oprette forbindelse til denne hjemmeside og alle ressourcer på den, udelukkende ved brug af HTTPS i varigheden af "max-age"-timeren. "Max-age" er en variabel, der beskriver, hvor længe en indstilling skal huskes af browseren. Værdien af "max-age" er angivet i sekunder, den anbefalede værdi er "31536000", hvilket er et år.
Ideen er, at inden for varigheden af denne timer, som nulstilles med hver efterfølgende sideindlæsning, vil browseren kræve en HTTPS-forbindelse og afvise alle HTTP-ressourcer. Dette beskytter mod person-in-the-middle-angreb, hvor en hacker mellem dig og webserveren kan manipulere de svar, du modtager.
Det vigtigste punkt, hvor dette beskytter dig, er den første forbindelse. Når du opretter forbindelse til et websted, kan du typisk anmode om HTTP-webstedet og derefter blive videresendt til HTTPS-webstedet. Desværre kunne en hacker i en person i midten forhindre denne opgradering til HTTPS og kunne derefter stjæle eller overvåge din aktivitet på webstedet. Når først HSTS-headeren er blevet set af browseren, vil din browser dog oprette selv den første forbindelse over HTTPS, hvilket beskytter dig mod hackere.
HSTS forhindrer også usikre ressourcer i at blive indlæst, som også kan blive ondsindet ændret af en angriber, hvis de blev leveret over HTTP.
Operatøren "includeSubDomains" bruges til at angive, at overskriften også skal gælde for alle underdomæner på webstedet.
Du bemærker måske, at HSTS stadig ikke beskytter dig, første gang du opretter forbindelse til et websted. Det er her "preload"-operatøren kommer ind i billedet. Websites kan indsende sig selv til at blive inkluderet i HSTS preload-listen, "preload"-operatøren er en påkrævet indikator, hvis dette er tilfældet. HSTS preload-listen opdateres regelmæssigt og gemmes i browseren, hvis et websted er inkluderet i det, vil browseren anvende HSTS-beskyttelsen på det. Dette sker selv ved den allerførste forbindelse, før browseren nogensinde kunne have set HSTS-svarets header.
Tip: En "maks-alder" på et år eller mere er påkrævet for at blive tilføjet til HSTS preload-listen.
Et af hovedpunkterne ved HSTS er, at det viser en fejlmeddelelse, hvis der er problemer med HTTPS-forbindelsen. Som en ekstra sikkerhedsforanstaltning er det ikke meningen, at brugere skal kunne omgå HSTS-fejlmeddelelser, som de ville være i stand til med normale HTTPS-fejl.
Desværre kan dette forårsage problemer, hvis en virksomhed udruller HSTS, før hele webstedet og hver ressource, der bruges på det, understøtter HTTPS. I dette tilfælde vil brugere begynde at se HSTS-sikkerhedsfejlmeddelelser, som de ikke kan omgå, og i det væsentlige ødelægger webstedet fuldstændigt. Det værste er, at blot at fjerne HSTS-headeren ikke løser problemet for disse brugere, da deres browser vil fortsætte med at håndhæve HSTS i den potentielt måneder lange "max-age".
Som sådan er det yderst vigtigt, at en kort "max-age" bruges, når headeren først implementeres. Hvis der er problemer, varer de kun i kort tid, når de først er opdaget. Først når du er sikker på, at din hjemmeside er fuldstændig HSTS-kompatibel, bør du konfigurere en lang HSTS-timer.
Tip: Det er også muligt at indstille en "maks-alder" på 0, dette fjerner i det væsentlige den gemte HSTS-post fra alle, der ser den. Dette kan hjælpe, hvis der er et problem, men det vil kun påvirke brugerne, når og hvis de beslutter sig for at prøve igen.
Træt af Microsoft Edge Access Denied-fejl, der blokerer bankwebsteder? Opdag hurtige og pålidelige løsninger til at gendanne adgangen sikkert. Trin-for-trin-guide til problemfri bankvirksomhed.
Opdag de ultimative skjulte perler til at spille offlinespil på Microsoft Edge. Fra spændende gåder til endeløse løbespil, nyd topvalg som Surf, Solitaire og mere uden internet. Perfekt til problemfri sjov når som helst!
Oplever du fejlen "Bad Image" i Microsoft Edge efter en systemopdatering? Opdag gennemprøvede trinvise løsninger, der hurtigt løser problemet og giver dig problemfri browsing igen. Ingen tekniske færdigheder kræves!
Støder du på Microsoft Edge-fejl 404, siden blev ikke fundet? Opdag gennemprøvede trinvise løsninger, fra rydning af cache til avancerede nulstillinger, for hurtigt at få din browsing tilbage på sporet. Ingen tekniske færdigheder kræves!
Har du problemer med Netflix-fejl på Microsoft Edge-skrivebordet? Opdag trinvise løsninger som at rydde cachen, deaktivere udvidelser og mere for at streame problemfrit. Hurtige, nemme løsninger, der virker!
Har du problemer med beskadiget Edge-browserprofil? Opdag dokumenterede fejlfinding af problemer med beskadiget Edge-browserprofil trin til at gendanne dine bogmærker, indstillinger og hastighed. Hurtige løsninger indeni!
Frustreret over Microsoft Edge DNS-testen færdig, men intet internet? Opdag dokumenterede trinvise løsninger til at gendanne din forbindelse hurtigt. Virker på den nyeste Windows-version – ingen tekniske færdigheder kræves!
Få styr på fejlfinding af gennemsigtighedsproblemer i Microsoft Edge i Windows 11 med denne trinvise vejledning. Gendan skarpe glimmer- og akryleffekter i Edge uden besvær – ingen teknisk ekspertise nødvendig!
Fejlfind den frustrerende WebView2 Runtime Already Installed-fejl i Microsoft Edge med vores trinvise vejledning. Hurtige løsninger, avancerede løsninger og tips til problemfri WebView2-installation. Kom tilbage til problemfri browsing nu!
Har du problemer med Microsoft Edge, der forårsager overdreven batteriforbrug på din bærbare computer? Opdag dokumenterede fejlfindingstrin, effektivitetstilstande og løsninger, der forlænger batterilevetiden med op til 2 timer. Hurtige, nemme løsninger til Windows-brugere.
