Шта је ХСТС?

ХСТС је заглавље одговора на веб безбедност. Назив је акроним за „ХТТП Стрицт Транспорт Сецурити“. Функција ХСТС заглавља је да натера претраживаче да се повежу са веб локацијама користећи ХТТПС.

Савет: ХТТПС користи шифровање да би заштитио вашу веб везу од хакера који покушавају да је модификују или надгледају. ХТТП нема ове заштите, па би хакер на правом месту могао да надгледа и мења ваш ХТТП саобраћај.

Заглавље веб одговора је део мета-података које сервер шаље када одговара на веб захтеве. Подскуп ових заглавља се често назива безбедносним заглављима јер је њихова сврха да повећају безбедност веб локације и корисника.

ХСТС заглавље има два обавезна дела и два опциона. Назив заглавља „Стрицт-Транспорт-Сецурити“, а затим оператор „мак-аге“ и вредност су обавезни. Понекад се користи и други пар оператора, „инцлудеСубДомаинс“ и „прелоад“.

Када претраживач прими ХТТПС одговор са ХСТС заглављем, он добија инструкције да се повеже са овом веб локацијом и свим ресурсима на њој, искључиво користећи ХТТПС током трајања тајмера „мак-аге“. „Максимална старост“ је променљива која описује колико дуго претраживач мора да памти поставку. Вредност „мак-аге” је наведена у секундама, препоручена вредност је „31536000”, што је једна година.

Идеја је да током трајања овог тајмера, који се ресетује са сваким наредним учитавањем странице, претраживач захтева ХТТПС везу и одбаци све ХТТП ресурсе. Ово штити од напада особе у средини, где хакер између вас и веб сервера може да манипулише одговорима које добијете.

Главна тачка у којој вас ово штити је прва веза. Обично, када се повежете на веб локацију, можете да затражите ХТТП веб локацију, а затим да будете прослеђени на ХТТПС веб локацију. Нажалост, хакер на позицији особе у средини могао би да спречи ову надоградњу на ХТТПС и да затим украде или надгледа вашу активност на веб локацији. Међутим, када прегледач види ХСТС заглавље, ваш претраживач ће успоставити чак и прву везу преко ХТТПС-а, штитећи вас од хакера.

ХСТС такође спречава учитавање било каквих несигурних ресурса који би такође могли бити злонамерно модификовани од стране нападача ако су испоручени преко ХТТП-а.

Оператор „инцлудеСубДомаинс“ се користи да назначи да се заглавље такође примењује на све поддомене веб локације.

Листа унапред учитавања ХСТС-а

Можда ћете приметити да вас ХСТС још увек не штити када се први пут повежете на веб локацију. Овде долази на сцену „прелоад” оператор. Веб локације се могу пријавити да буду укључене у ХСТС листу унапред учитавања, оператор „прелоад” је обавезан индикатор ако је то случај. Листа унапред учитавања ХСТС-а се редовно ажурира и чува у претраживачу, ако је сајт укључен у то, претраживач ће применити ХСТС заштиту на њега. Ово се дешава чак и при првој вези пре него што је претраживач икада могао да види заглавље ХСТС одговора.

Савет: „Максимални узраст“ од годину дана или више је потребно да се дода на ХСТС листу унапред учитавања. 

Проблеми са ХСТС-ом

Једна од главних тачака ХСТС-а је да приказује поруку о грешци ако постоје проблеми са ХТТПС везом. Као додатна безбедносна мера предострожности, корисници не би требало да могу да заобиђу ХСТС поруке о грешкама, као што би то могли да ураде са нормалним ХТТПС грешкама.

Нажалост, ово може изазвати проблеме ако компанија уведе ХСТС пре целе веб локације и сваки ресурс који се користи на њој подржава ХТТПС. У овом случају, корисници ће почети да виде ХСТС поруке о безбедносним грешкама које не могу да заобиђу, у суштини потпуно разбијајући веб локацију. Најгоре је то што једноставно уклањање ХСТС заглавља не решава проблем за те кориснике, јер ће њихов претраживач наставити да примењује ХСТС током потенцијално вишемесечног „максималног узраста“.

Као такво, од кључне је важности да се кратка „максимална старост“ користи приликом првог постављања заглавља. Ако постоје проблеми, они трају само кратко време када се открију. Тек када будете сигурни да је ваша веб локација у потпуности компатибилна са ХСТС-ом, требало би да конфигуришете дуги ХСТС тајмер.

Савет: Такође је могуће подесити „максимални узраст“ од 0, што у суштини уклања сачувани ХСТС унос од свакога ко га види. Ово може помоћи ако постоји проблем, али ће утицати само на кориснике када и ако одлуче да покушају поново.