HSTS — це заголовок відповіді веб-безпеки. Назва є акронімом від «HTTP Strict Transport Security». Функція заголовка HSTS полягає в тому, щоб змусити браузери підключатися до веб-сайтів за допомогою HTTPS.
Порада. HTTPS використовує шифрування, щоб захистити ваше веб-з’єднання від хакерів, які намагаються його змінити або відстежувати. HTTP не має цих засобів захисту, тому хакер у потрібному місці може відстежувати та змінювати ваш HTTP-трафік.
Заголовок веб-відповіді — це фрагмент метаданих, який надсилає сервер, коли він відповідає на веб-запити. Підмножину цих заголовків часто називають заголовками безпеки, оскільки їх мета — підвищити безпеку веб-сайту та користувача.
Заголовок HSTS складається з двох обов’язкових частин і двох необов’язкових. Ім’я заголовка «Strict-Transport-Security», а потім оператор і значення «max-age» є обов’язковими. Інша пара операторів «includeSubDomains» і «preload» також іноді використовується.
Коли браузер отримує відповідь HTTPS із заголовком HSTS, йому вказується підключитися до цього веб-сайту та всіх ресурсів на ньому, використовуючи виключно HTTPS протягом таймера «max-age». «Максимальний вік» — це змінна, яка описує, як довго браузер повинен запам’ятати налаштування. Значення «max-age» вказано в секундах, рекомендоване значення – «31536000», тобто один рік.
Ідея полягає в тому, що протягом тривалості цього таймера, який скидається з кожним наступним завантаженням сторінки, браузер вимагатиме підключення HTTPS і відхилятиме будь-які ресурси HTTP. Це захищає від атак «особа посередині», коли хакер між вами та веб-сервером може маніпулювати отриманими вами відповідями.
Основний момент, у якому це захищає вас, - це перше з'єднання. Зазвичай, коли ви підключаєтеся до веб-сайту, ви можете запросити веб-сайт HTTP, а потім отримати переадресацію на веб-сайт HTTPS. На жаль, хакер на серединній посаді може запобігти цьому оновлення до HTTPS, а потім вкрасти або відстежувати вашу активність на веб-сайті. Однак після того, як заголовок HSTS побачить браузер, ваш браузер встановить навіть перше з’єднання через HTTPS, захищаючи вас від хакерів.
HSTS також запобігає завантаженню будь-яких незахищених ресурсів, які також можуть бути зловмисно змінені зловмисником, якщо вони були доставлені через HTTP.
Оператор «includeSubDomains» використовується, щоб вказати, що заголовок також має застосовуватися до всіх субдоменів веб-сайту.
Ви можете помітити, що HSTS все одно не захищає вас під час першого підключення до веб-сайту. Тут на допомогу приходить оператор «попереднього завантаження». Веб-сайти можуть подати заявку на включення до списку попереднього завантаження HSTS, якщо це так, оператор «preload» є обов’язковим індикатором. Список попереднього завантаження HSTS регулярно оновлюється та зберігається у браузері, якщо сайт включено до нього, тоді браузер застосовуватиме до нього захист HSTS. Це відбувається навіть при першому підключенні до того, як браузер міг побачити заголовок відповіді HSTS.
Порада: до списку попереднього завантаження HSTS потрібно додати «максимальний вік» від року або більше.
Однією з головних положень HSTS є те, що він представляє повідомлення про помилку, якщо є якісь проблеми з підключенням HTTPS. Як додатковий захід безпеки, користувачі не повинні мати можливість обійти повідомлення про помилки HSTS, як вони могли б це зробити зі звичайними помилками HTTPS.
На жаль, це може спричинити проблеми, якщо компанія впровадить HSTS до того, як весь веб-сайт і кожен ресурс, що використовується на ньому, підтримує HTTPS. У цьому випадку користувачі почнуть бачити повідомлення про помилки безпеки HSTS, які вони не можуть обійти, по суті, повністю зламавши веб-сайт. Найгірше те, що просте видалення заголовка HSTS не вирішує проблему для цих користувачів, оскільки їхній браузер продовжуватиме застосовувати HSTS протягом потенційно багатомісячного «максимального віку».
Тому дуже важливо, щоб під час першого розгортання заголовка використовувався короткий «max-age». Якщо є якісь проблеми, то вони залишаються лише на короткий час після виявлення. Тільки коли ви переконаєтеся, що ваш веб-сайт повністю сумісний із HSTS, слід налаштувати довгий таймер HSTS.
Порада: також можна встановити «максимальний вік» на 0, це по суті видаляє збережений запис HSTS від усіх, хто його бачить. Це може допомогти, якщо є проблема, але це вплине лише на користувачів, коли й якщо вони вирішать спробувати ще раз.
Змініть швидкість будь-якого відео на Android безкоштовно за допомогою цього корисного додатка. Додайте ефект уповільненого та прискореного відтворення до одного й того ж відео.
Розважайтеся на своїх зустрічах у Zoom за допомогою кількох кумедних фільтрів, які ви можете спробувати. Додайте ореол або виглядайте як єдиноріг на своїх зустрічах у Zoom за допомогою цих кумедних фільтрів.
Немає стовідсотково надійного способу перевірити, чи хтось справді онлайн у Facebook, коли здається, що він офлайн.
Якщо вам не подобається ідея того, що всі користувачі Facebook можуть бачити фотографії, на яких вас позначено, ви можете приховати їх у своїй стрічці. Ви можете налаштувати це.
Щоб отримувати сповіщення, коли хтось публікує щось у Facebook, перейдіть у налаштування та ввімкніть сповіщення. Потім додайте цю людину до списку близьких друзів.
Пошук потрібної картки для оплати в кишені чи гаманці може бути справжньою проблемою. Протягом останніх кількох років різні компанії...
Samsung Galaxy Z Fold 5, завдяки своєму інноваційному складаному дизайну та передовим технологіям, пропонує різні способи підключення до ПК. Незалежно від того, чи ви
Google Meet – чудова альтернатива іншим додаткам для відеоконференцій, таким як Zoom. Він може не мати тих самих функцій, але ви все одно можете використовувати інші. Ви можете розпочати сеанс Google Meet безпосередньо зі сторінки Gmail. Дізнайтеся, як це зробити, виконавши ці кроки.
Дізнайтеся, як можна визначити певний колір за допомогою вбудованого інструменту у Firefox без використання стороннього програмного забезпечення.
Веб-версія WhatsApp не працює? Не хвилюйтеся. Ось кілька корисних порад, які ви можете спробувати, щоб WhatsApp знову запрацював.
