Hvað er HSTS?

HSTS er svarhaus fyrir veföryggi. Nafnið er skammstöfun fyrir „HTTP Strict Transport Security“. Hlutverk HSTS haussins er að þvinga vafra til að tengjast vefsíðum með HTTPS.

Ábending: HTTPS notar dulkóðun til að tryggja nettenginguna þína fyrir tölvuþrjótum sem reyna að breyta eða fylgjast með henni. HTTP hefur ekki þessa vernd og því gæti tölvuþrjótur á réttum stað fylgst með og breytt HTTP umferð þinni.

Vefsvörunarhaus er lýsigögn sem þjónninn sendir þegar hann svarar vefbeiðnum. Hlutmengi þessara hausa er oft nefnt öryggishausar þar sem tilgangur þeirra er að auka öryggi vefsíðunnar og notandans.

HSTS hausinn hefur tvo lögboðna hluta og tvo valfrjálsa. Heiti haussins „Strict-Transport-Security“ og síðan „hámarksaldur“ rekstraraðili og gildi eru bæði skylda. Annað par af rekstraraðilum, „includeSubDomains“ og „preload“ eru líka stundum notuð.

Þegar vafrinn fær HTTPS svar með HSTS hausnum er honum boðið að tengjast þessari vefsíðu og öllum tilföngum á henni, eingöngu að nota HTTPS á meðan tímamælirinn „hámarksaldur“ stendur yfir. „Hámarksaldur“ er breyta sem lýsir því hversu lengi vafrinn þarf að muna stillingu. Gildi „hámarksaldurs“ er skráð í sekúndum, ráðlagt gildi er „31536000“, sem er eitt ár.

Hugmyndin er sú að innan þessa tímamælis, sem er endurstillt við hverja síðari síðuhleðslu, mun vafrinn þurfa HTTPS tengingu og hafna öllum HTTP tilföngum. Þetta verndar gegn árásum á milli einstaklinga, þar sem tölvuþrjótur á milli þín og vefþjónsins getur stjórnað svörunum sem þú færð.

Aðalpunkturinn þar sem þetta verndar þig er fyrsta tengingin. Venjulega, þegar þú tengist vefsíðu, geturðu beðið um HTTP vefsíðuna og síðan sent áfram á HTTPS vefsíðuna. Því miður gæti tölvuþrjótur í miðri stöðu komið í veg fyrir þessa uppfærslu í HTTPS og gæti þá stolið eða fylgst með virkni þinni á vefsíðunni. Þegar vafrinn hefur séð HSTS hausinn mun vafrinn þinn hins vegar gera fyrstu tenginguna yfir HTTPS og verndar þig gegn tölvuþrjótum.

HSTS kemur einnig í veg fyrir að óörugg auðlind sé hlaðin sem gæti einnig verið breytt af árásarmanni ef þau væru send í gegnum HTTP.

Rekstraraðilinn „includeSubDomains“ er notaður til að gefa til kynna að hausinn ætti einnig að gilda um öll undirlén vefsíðunnar.

HSTS forhleðslulistinn

Þú gætir tekið eftir því að HSTS verndar þig samt ekki í fyrsta skipti sem þú tengist vefsíðu. Þetta er þar sem „forhlaða“ rekstraraðilinn kemur inn. Vefsíður geta lagt sig fram til að vera með á HSTS forhleðslulistanum, „forhlaða“ rekstraraðilinn er nauðsynlegur vísir ef svo er. HSTS forhleðslulistinn er uppfærður reglulega og geymdur í vafranum, ef síða er innifalin í því þá mun vafrinn beita HSTS vörnum á hann. Þetta gerist jafnvel í fyrstu tengingunni áður en vafrinn gat nokkurn tíma séð HSTS svarhausinn.

Ábending: „hámarksaldur“ á ári eða meira þarf til að bæta við HSTS forhleðslulistann. 

Vandamál með HSTS

Eitt af aðalatriðum HSTS er að það birtir villuboð ef einhver vandamál eru með HTTPS tenginguna. Sem auka öryggisráðstöfun eiga notendur ekki að geta framhjá HSTS villuboðum, eins og þeir myndu geta gert með venjulegum HTTPS villum.

Því miður getur þetta valdið vandamálum ef fyrirtæki setur út HSTS áður en öll vefsíðan, og öll tilföng sem notuð eru á henni, styðja HTTPS. Í þessu tilfelli munu notendur byrja að sjá HSTS öryggisvilluskilaboð sem þeir geta ekki framhjá, í rauninni brjóta vefsíðuna algjörlega. Það versta er að einfaldlega að fjarlægja HSTS hausinn lagar ekki vandamálið fyrir þessa notendur, þar sem vafrinn þeirra mun halda áfram að framfylgja HSTS fyrir hugsanlega mánaðarlangan „hámarksaldur“.

Sem slíkt er afar mikilvægt að stuttur „hámarksaldur“ sé notaður þegar hausinn er settur í notkun. Ef það eru einhver vandamál, þá eru þau aðeins viðvarandi í stuttan tíma þegar þau hafa uppgötvast. Aðeins þegar þú ert viss um að vefsíðan þín sé algjörlega HSTS samhæf ættir þú að stilla langan HSTS tímamæli.

Ábending: Það er líka hægt að stilla „hámarksaldur“ upp á 0, þetta fjarlægir í rauninni vistuðu HSTS færsluna frá öllum sem sjá hana. Þetta getur hjálpað ef það er vandamál, en það hefur aðeins áhrif á notendur þegar og ef þeir ákveða að reyna aftur.