HTTP严格传输安全协议成互联网标准

安全
HTTP严格传输安全协议(HSTS,Strict Transport Security)允许网站只接受通过HTTPS(安全HTTP)的连接,该协议的目的是防止黑客迫使用户通过HTTP连接或者滥用HTTPS部署中的错误来破坏内容完整性。

一种能够帮助HTTPS网站更好地抵御各种类型攻击的Web安全政策机制已经作为互联网标准被批准和发布,但除了一些高知名度的网站的支持外,其他网站的部署率仍然很低。

HTTP严格传输安全协议(HSTS,Strict Transport Security)允许网站只接受通过HTTPS(安全HTTP)的连接,该协议的目的是防止黑客迫使用户通过HTTP连接或者滥用HTTPS部署中的错误来破坏内容完整性。

负责开发和推广互联网标准的互联网工程任务组(IETF)近日发布了HSTS规范作为正式标准文件RFC 6797。IETF的网络安全工作组自2010以来一直在研究该协议,该协议最初由Paypal的Jeff Hodges、卡内基梅隆大学的Collin Jackson和谷歌的Adam Barth作为草案提交。

HSTS防止所谓的混合内容问题影响HTTPS网站的安全性和完整性。当被嵌入到HTTPS网站脚本或者其他资源从第三方地点通过不安全连接加载时,就会出现混合内容问题,这可能是开发错误或者是故意的。

当浏览器加载不安全资源时,它会通过普通的HTTP发出请求,也可能会一起发送用户的会话cookie。攻击者可以使用网络嗅探技术来拦截这个请求,然后使用用户的cookie来攻击用户的账户。

HSTS机制还可以抵御中间人攻击,在这种攻击中,攻击者试图拦截用户到网站的连接,强制用户的浏览器访问该网站的HTTP版本,而不是HTTPS版本。这项技术被称为HTTPS或者SSL分离,并有很多工具可以自动执行。

当浏览器通过HTTPS连接到支持HSTS的网站时,该网站的严格传输安全协议将被保存(在指定的一段时间内)。从这个时候起,只要缓存的政策没有过期,浏览器都会拒绝启动与该网站的不安全连接。

HSTS政策通过HTTP响应表头域(被称为Strict-Transport-Security)来传输,相同的表头也可以用于更新政策。

安全公司Qualys工程主管Ivan Ristic表示,HSTS对于SSL来说是一件极好的事情,因为在它修复了18年前该协议最初设计时存在的一些错误,并且,它还根据web浏览器运行方式的改变而做出了调整。

例如,依赖于证书警告是一个大错误,因为用户养成了忽视和覆盖它们的习惯。在大多数情况下,这不是一个大问题,但即使是1%的情况,这也是危险的。

HSTS不依赖于证书警告。如果在HTTPS部署中检测到问题,浏览器会简单地拒绝连接,不会为用户提供机会来覆盖这个决定。

即使对于启用HSTS的网站,仍然存在很小的攻击机会,例如,当浏览器第一次访问网站,而没有为其保存HSTS政策时。在这种情况下,攻击者可以阻止它到达HTTPS版本的网站,而强迫使用HTTP连接。

为了解决这个问题,Chrome和Firefox等浏览器具有预加载流行网站列表,在默认情况下,这些网站将会强制执行HSTS。

根据SSL Pulse(监测世界上访问量最大网站的HTTPS部署情况的项目)像是,在前18万启用HTTPS的网站中,只有1700支持HSTS。

Ristic表示,出了整体HSTS部署率偏低外,一些网站仍然在支持存在执行问题的功能。

例如,一些只为HSTS政策指定很短的有效期(也被称为生存时间)。如果要确保HSTS的有效性,有效期至少应该要几天,如果无法达到几个月的话。

Ristic不认为HSTS成为正式互联网标准的事实一定能够推动部署率。网站经营者一直都很乐观,部署任何适用于他们的协议,而不管协议是否是标准。

“我认为HSTS的最大问题是教育,”Ristic表示,“人们需要了解到它的存在。”

目前支持HSTS的流行网站包括Paypal、Twitter和各种谷歌服务。Facebook正在为其网站部署始终开启的HTTPS,但仍然不支持HSTS。

责任编辑:蓝雨泪 来源: 网界网
相关推荐

2023-09-07 11:36:30

网络协议互联网

2015-01-27 09:11:44

2011-05-20 11:24:30

手机上网安全

2023-10-08 08:22:33

2023-12-06 09:37:14

接口协议物联网

2022-02-15 17:01:50

工信部工业互联网标准

2011-08-19 11:33:32

2022-07-07 18:03:15

网络协议网络通信

2014-12-04 10:28:06

蓝牙

2017-06-05 08:18:32

MySQL互联网标准

2011-06-16 11:01:43

中国互联网互联网服务互联网

2021-12-26 00:20:13

网协议语音VoIP

2010-04-27 15:06:06

2013-02-27 16:45:43

网络传输介质局域网络传输同轴电缆

2014-10-11 09:16:59

互联网协议

2010-06-17 23:25:09

互联网协议

2021-11-01 09:54:45

互联网安全协议IPSec网络协议

2015-12-24 11:14:04

2010-06-02 14:01:36

IPv6协议标准

2013-02-05 16:34:36

谷歌国际互联网安全日
点赞
收藏

51CTO技术栈公众号