Το HSTS είναι μια κεφαλίδα απόκρισης ασφάλειας ιστού. Το όνομα είναι ακρωνύμιο του «HTTP Strict Transport Security». Η λειτουργία της κεφαλίδας HSTS είναι να αναγκάζει τα προγράμματα περιήγησης να συνδέονται σε ιστότοπους χρησιμοποιώντας HTTPS.
Συμβουλή: Το HTTPS χρησιμοποιεί κρυπτογράφηση για να ασφαλίσει τη σύνδεσή σας στον ιστό από χάκερ που προσπαθούν να την τροποποιήσουν ή να την παρακολουθήσουν. Το HTTP δεν διαθέτει αυτές τις προστασίες και έτσι ένας χάκερ στο σωστό μέρος θα μπορούσε να παρακολουθεί και να τροποποιεί την επισκεψιμότητά σας HTTP.
Μια κεφαλίδα απόκρισης ιστού είναι ένα τμήμα μεταδεδομένων που αποστέλλεται από τον διακομιστή όταν ανταποκρίνεται σε αιτήματα Ιστού. Ένα υποσύνολο αυτών των κεφαλίδων αναφέρεται συχνά ως κεφαλίδες ασφαλείας καθώς σκοπός τους είναι να αυξήσουν την ασφάλεια του ιστότοπου και του χρήστη.
Η κεφαλίδα HSTS έχει δύο υποχρεωτικά μέρη και δύο προαιρετικά. Το όνομα της κεφαλίδας "Strict-Transport-Security" και, στη συνέχεια, ο τελεστής και η τιμή "max-age" είναι και τα δύο υποχρεωτικά. Ένα άλλο ζεύγος τελεστών, το "includeSubDomains" και το "preload" χρησιμοποιούνται επίσης μερικές φορές.
Όταν το πρόγραμμα περιήγησης λαμβάνει μια απόκριση HTTPS με την κεφαλίδα HSTS, λαμβάνει οδηγίες να συνδεθεί σε αυτόν τον ιστότοπο και όλους τους πόρους σε αυτόν, χρησιμοποιώντας αποκλειστικά HTTPS για τη διάρκεια του χρονοδιακόπτη «μέγ. ηλικίας». Το "Max-age" είναι μια μεταβλητή που περιγράφει πόσο χρόνο πρέπει να απομνημονεύεται μια ρύθμιση από το πρόγραμμα περιήγησης. Η τιμή του "max-age" αναφέρεται σε δευτερόλεπτα, η προτεινόμενη τιμή είναι "31536000", που είναι ένα έτος.
Η ιδέα είναι ότι κατά τη διάρκεια αυτού του χρονοδιακόπτη, που επαναφέρεται με κάθε επόμενη φόρτωση σελίδας, το πρόγραμμα περιήγησης θα απαιτεί σύνδεση HTTPS και θα απορρίπτει τυχόν πόρους HTTP. Αυτό προστατεύει από επιθέσεις "person-in-the-middle", όπου ένας χάκερ μεταξύ εσάς και του διακομιστή ιστού μπορεί να χειραγωγήσει τις απαντήσεις που λαμβάνετε.
Το κύριο σημείο στο οποίο αυτό σας προστατεύει είναι η πρώτη σύνδεση. Συνήθως, όταν συνδέεστε σε έναν ιστότοπο, μπορείτε να ζητήσετε τον ιστότοπο HTTP και, στη συνέχεια, να προωθηθείτε στον ιστότοπο HTTPS. Δυστυχώς, ένας χάκερ που βρίσκεται στη μέση θέση θα μπορούσε να αποτρέψει αυτήν την αναβάθμιση σε HTTPS και στη συνέχεια θα μπορούσε να κλέψει ή να παρακολουθήσει τη δραστηριότητά σας στον ιστότοπο. Ωστόσο, όταν η κεφαλίδα HSTS εμφανιστεί από το πρόγραμμα περιήγησης, το πρόγραμμα περιήγησής σας θα πραγματοποιήσει ακόμη και την πρώτη σύνδεση μέσω HTTPS, προστατεύοντάς σας από τους χάκερ.
Το HSTS αποτρέπει επίσης τη φόρτωση τυχόν μη ασφαλών πόρων που θα μπορούσαν επίσης να τροποποιηθούν κακόβουλα από έναν εισβολέα, εάν παραδοθούν μέσω HTTP.
Ο τελεστής "includeSubDomains" χρησιμοποιείται για να υποδείξει ότι η κεφαλίδα πρέπει επίσης να ισχύει για όλους τους υποτομείς του ιστότοπου.
Μπορεί να παρατηρήσετε ότι το HSTS εξακολουθεί να μην σας προστατεύει την πρώτη φορά που συνδέεστε σε έναν ιστότοπο. Εδώ μπαίνει ο τελεστής "προφόρτωσης". Οι ιστότοποι μπορούν να υποβάλουν τους εαυτούς τους για να συμπεριληφθούν στη λίστα προφόρτωσης HSTS, ο τελεστής "προφόρτωσης" είναι ένας απαιτούμενος δείκτης εάν αυτό συμβαίνει. Η λίστα προφόρτωσης HSTS ενημερώνεται τακτικά και αποθηκεύεται στο πρόγραμμα περιήγησης, εάν ένας ιστότοπος περιλαμβάνεται σε αυτό, το πρόγραμμα περιήγησης θα εφαρμόσει τις προστασίες HSTS σε αυτήν. Αυτό συμβαίνει ακόμη και στην πρώτη σύνδεση πριν το πρόγραμμα περιήγησης μπορούσε να δει την κεφαλίδα απόκρισης HSTS.
Συμβουλή: Απαιτείται μια «μέγιστη ηλικία» ενός έτους ή περισσότερο για να προστεθεί στη λίστα προφόρτωσης HSTS.
Ένα από τα κύρια σημεία του HSTS είναι ότι παρουσιάζει ένα μήνυμα σφάλματος εάν υπάρχουν προβλήματα με τη σύνδεση HTTPS. Ως πρόσθετο μέτρο ασφαλείας, οι χρήστες δεν υποτίθεται ότι μπορούν να παρακάμψουν μηνύματα σφάλματος HSTS, όπως θα μπορούσαν να κάνουν με κανονικά σφάλματα HTTPS.
Δυστυχώς, αυτό μπορεί να προκαλέσει προβλήματα εάν μια εταιρεία διαθέσει HSTS πριν από ολόκληρο τον ιστότοπο και κάθε πόρος που χρησιμοποιείται σε αυτόν υποστηρίζει HTTPS. Σε αυτήν την περίπτωση, οι χρήστες θα αρχίσουν να βλέπουν μηνύματα σφάλματος ασφαλείας HSTS που δεν μπορούν να παρακάμψουν, ουσιαστικά καταστρέφοντας εντελώς τον ιστότοπο. Το χειρότερο μέρος είναι ότι η απλή κατάργηση της κεφαλίδας HSTS δεν επιλύει το πρόβλημα για αυτούς τους χρήστες, καθώς το πρόγραμμα περιήγησής τους θα συνεχίσει να επιβάλλει το HSTS για τη δυνητικά μηνιαία «μέγιστη ηλικία».
Ως εκ τούτου, είναι εξαιρετικά σημαντικό να χρησιμοποιείται ένα σύντομο "max-age" κατά την πρώτη ανάπτυξη της κεφαλίδας. Εάν υπάρχουν προβλήματα, τότε επιμένουν μόνο για μικρό χρονικό διάστημα από τη στιγμή που ανακαλυφθούν. Μόνο όταν είστε βέβαιοι ότι ο ιστότοπός σας είναι πλήρως συμβατός με το HSTS, θα πρέπει να διαμορφώσετε ένα μεγάλο χρονόμετρο HSTS.
Συμβουλή: Είναι επίσης δυνατό να ορίσετε ένα "max-age" 0, αυτό ουσιαστικά αφαιρεί την αποθηκευμένη καταχώρηση HSTS από οποιονδήποτε τη βλέπει. Αυτό μπορεί να βοηθήσει εάν υπάρχει κάποιο πρόβλημα, αλλά θα επηρεάσει τους χρήστες μόνο όταν και εάν αποφασίσουν να δοκιμάσουν ξανά.
Όταν ενεργοποιήσετε το ποσοστό μπαταρίας στο τηλέφωνό σας Android, γνωρίζετε πόση μπαταρία απομένει. Δείτε πώς να το ενεργοποιήσετε εύκολα.
Το WhatsApp Web δεν λειτουργεί; Μην ανησυχείτε. Ακολουθούν ορισμένες χρήσιμες συμβουλές που μπορείτε να δοκιμάσετε για να λειτουργήσει ξανά το WhatsApp.
Μάθετε πώς να επιταχύνετε τον χρόνο που περνάτε εργάζεστε σε αρχεία PowerPoint μαθαίνοντας αυτές τις σημαντικές συντομεύσεις πληκτρολογίου.
Αν δεν είστε βέβαιοι για τις εμφανίσεις, την εμβέλεια και τη συμμετοχή στο Facebook, συνεχίστε να διαβάζετε για να μάθετε. Δείτε αυτή την εύκολη εξήγηση.
Αν αναρωτιέστε τι είναι αυτή η λέξη-κλειδί υπολογισμός ομίχλης στον τομέα της υπολογιστικής νέφους, τότε βρίσκεστε στο σωστό μέρος. Διαβάστε για να μάθετε περισσότερα!
Επαναφέρετε τα εικονίδια της αρχικής οθόνης στο iPad σας και ξεκινήστε ξανά για να οργανώσετε τα εικονίδια σας με πιο εύκολο τρόπο. Ακολουθήστε τα εύκολα βήματα που αναφέρονται εδώ.
Γνωρίζοντας πώς να αλλάξετε τις ρυθμίσεις απορρήτου του Facebook σε τηλεφώνου ή tablet, θα διευκολύνει τη διαχείριση του λογαριασμού σας.
Αλλάξτε την προεπιλεγμένη μηχανή αναζήτησης στο Opera για Android και απολαύστε τις προτιμώμενες επιλογές σας. Ανακαλύψτε τον γρηγορότερο τρόπο. Αλλάξτε την προεπιλεγμένη μηχανή αναζήτησης που χρησιμοποιεί ο περιηγητής Opera για Android με αυτά τα εύκολα βήματα.
Δείτε ποιά βήματα να ακολουθήσετε για να απενεργοποιήσετε τον Google Assistant και να αποκτήσετε κάποια ηρεμία. Νιώστε λιγότερο παρακολουθούμενοι και απενεργοποιήστε τον Google Assistant.
Εάν θέλετε απλά να ζητήσετε από φίλους συστάσεις για μια συγκεκριμένη δραστηριότητα, μεταβείτε στο "Τι σκέφτεστε;" και πληκτρολογήστε την ερώτησή σας.
