Mi az a HSTS?

A HSTS egy webes biztonsági válaszfejléc. A név a „HTTP Strict Transport Security” rövidítése. A HSTS fejléc funkciója, hogy a böngészőket arra kényszerítse, hogy HTTPS használatával kapcsolódjanak webhelyekhez.

Tipp: A HTTPS titkosítást használ, hogy megvédje webkapcsolatát a módosítani vagy felügyelni próbáló hackerektől. A HTTP nem rendelkezik ezekkel a védelemmel, így a megfelelő helyen lévő hacker figyelheti és módosíthatja a HTTP-forgalmat.

A webes válaszfejléc egy metaadat, amelyet a szerver küld, amikor válaszol a webes kérésekre. E fejlécek egy részhalmazát gyakran biztonsági fejlécnek nevezik, mivel céljuk a webhely és a felhasználó biztonságának növelése.

A HSTS fejlécnek két kötelező és két opcionális része van. A „Strict-Transport-Security” fejlécnév, majd a „max-age” operátor és érték egyaránt kötelező. Egy másik operátorpár, az „includeSubDomains” és a „preload” is néha használatos.

Amikor a böngésző HTTPS-választ kap a HSTS-fejléccel, utasítja, hogy csatlakozzon ehhez a webhelyhez és a rajta lévő összes erőforráshoz, kizárólag HTTPS használatával a „max-age” időzítő időtartama alatt. A „Max-age” egy olyan változó, amely azt írja le, hogy a böngészőnek mennyi ideig kell emlékeznie egy beállításra. A „max-age” értéke másodpercben van megadva, az ajánlott érték „31536000”, ami egy év.

Az ötlet az, hogy ezen időzítő időtartamán belül, amely minden következő oldalbetöltéskor visszaáll, a böngészőnek HTTPS-kapcsolatra lesz szüksége, és visszautasít minden HTTP-erőforrást. Ez védelmet nyújt a középső támadásokkal szemben, ahol egy Ön és a webszerver közötti hacker manipulálhatja a kapott válaszokat.

A fő pont, ahol ez megvédi Önt, az első kapcsolat. Általában, amikor csatlakozik egy webhelyhez, kérheti a HTTP-webhelyet, majd továbbíthatja a HTTPS webhelyre. Sajnos egy középső pozícióban lévő hacker megakadályozhatja a HTTPS-re való frissítést, majd ellophatja vagy figyelheti az Ön tevékenységét a webhelyen. Ha azonban a HSTS fejlécet a böngésző látta, a böngésző akár az első kapcsolatot is létrehozza HTTPS-en keresztül, megvédve Önt a hackerektől.

A HSTS emellett megakadályozza a nem biztonságos erőforrások betöltését, amelyeket a támadók rosszindulatúan módosíthatnak, ha HTTP-n keresztül szállítanák őket.

Az „includeSubDomains” operátor azt jelzi, hogy a fejlécnek a webhely összes aldomainjére is vonatkoznia kell.

A HSTS előtöltési listája

Észreveheti, hogy a HSTS még mindig nem védi Önt az első alkalommal, amikor csatlakozik egy webhelyhez. Itt jön be az „előtöltés” ​​operátor. A webhelyek bejelenthetik magukat, hogy felvegyék magukat a HSTS előbetöltési listájára, az „előtöltés” ​​operátor kötelező indikátor, ha ez a helyzet. A HSTS előtöltési listát rendszeresen frissítjük és tároljuk a böngészőben, ha egy oldal szerepel benne, akkor a böngésző a HSTS védelmet alkalmazza rá. Ez még a legelső csatlakozáskor is megtörténik, mielőtt a böngésző valaha is láthatta volna a HSTS válaszfejlécet.

Tipp: A HSTS előtöltési listájához legalább egy éves „maximális életkor” szükséges. 

Problémák a HSTS-sel

A HSTS egyik fő pontja, hogy hibaüzenetet jelenít meg, ha bármilyen probléma van a HTTPS-kapcsolattal. Extra biztonsági óvintézkedésként a felhasználóknak nem szabad megkerülniük a HSTS hibaüzeneteket, ahogyan azt a normál HTTPS-hibák esetén megtennék.

Sajnos ez problémákat okozhat, ha egy vállalat a HSTS-t a teljes webhely előtt vezeti be, és minden rajta használt erőforrás támogatja a HTTPS-t. Ebben az esetben a felhasználók HSTS biztonsági hibaüzeneteket fognak látni, amelyeket nem tudnak megkerülni, lényegében teljesen felborítva a webhelyet. A legrosszabb az, hogy a HSTS fejléc egyszerű eltávolítása nem oldja meg a problémát ezeknél a felhasználóknál, mivel a böngészőjük továbbra is kényszeríti a HSTS-t a potenciálisan hónapokig tartó „max-age”-ig.

Mint ilyen, rendkívül fontos, hogy a fejléc első telepítésekor egy rövid „max-age”-t használjunk. Ha vannak problémák, akkor azok csak rövid ideig maradnak fenn, miután felfedezték. Csak ha biztos abban, hogy webhelye teljesen HSTS-kompatibilis, akkor érdemes hosszú HSTS-időzítőt beállítani.

Tipp: Lehetőség van 0 „max-age” beállítására is, ez lényegében eltávolítja a mentett HSTS bejegyzést bárki elől, aki látja. Ez segíthet, ha probléma adódik, de csak akkor lesz hatással a felhasználókra, amikor és ha úgy döntenek, hogy újra megpróbálják.