HSTS - гарантія захищеного з'єднання

Що це дало власникам веб-ресурсів?

Перш за все, можливість встановлювати безпечне з'єднання без використання HTTP. Це означає, що будь-який користувач, який заходить по HTTP, автоматично перемикається на HTTPS-сервер за допомогою заголовка HTTP Strict-Transport-Security. Іншими словами, HSTS - це заголовок відповіді сервера, який повідомляє браузеру, що він може підключатися до певного сайту тільки за допомогою протоколу HTTPS.

Уразливості, які закриває HSTS:

HSTS - захищене з'єднання по HTTPS успішно реалізовано

Наша команда успішно впровадила на Вашому сайті технологію HTTP Strict Transport Security (HSTS), яка дозволяє активувати форсоване захищене з'єднання по HTTPS.

Що це дало власникам веб-ресурсів?

Перш за все, можливість встановлювати безпечне з'єднання без використання HTTP. Це означає, що будь-який користувач, який заходить по HTTP, автоматично перемикається на HTTPS-сервер за допомогою заголовка HTTP Strict-Transport-Security. Іншими словами, HSTS - це заголовок відповіді сервера, який повідомляє браузеру, що він може підключатися до певного сайту тільки за допомогою протоколу HTTPS.

Уразливості, які закриває HSTS:

HSTS - захищене з'єднання по HTTPS реалізовано на Вашому проекті

Наші фахівці перевірили Ваш сайт і визначили, що Ви використовуєте технологію HTTP Strict Transport Security (HSTS), яка дозволяє активувати форсоване захищене з'єднання по HTTPS.

Ми впевнені, що при установці цього поліпшення Ви вивчили всі переваги роботи через HSTS, тим не менш, ми хочемо впорядкувати Ваші знання і ще раз привести аргументи на користь технології HTTP Strict Transport Security (HSTS).

Отже, як Вам вже відомо, що HSTS - це заголовок відповіді сервера, який повідомляє браузеру, що він може підключатися до певного сайту тільки з допомогою протоколу HTTPS. Ця технологія надає можливість встановлювати безпечне з'єднання без використання HTTP. Це означає, що будь-який користувач, який заходить по HTTP, автоматично перемикається на HTTPS-сервер за допомогою заголовка HTTP Strict-Transport-Security.

Які ж уразливості закриває HSTS:

Проблема 1: Користувач додає в закладки або набирає в адресному рядку сайт з http: // і стає жертвою атаки.

Рішення 1: HSTS перетворює HTTP-запити в HTTPS.

Проблема 2: Додаток, в якому передбачається використання HTTPS, містить HTTP-посилання або віддає контент по HTTP.

Рішення 2: HSTS перетворює HTTP-запити в HTTPS.

Які браузери підтримують цю технологію?

  • Chromium і Google Chrome з версії 4.0.211.0.

  • Firefox з версії 4, Firefox з версії 17, Mozilla, а також частково веб-сайти,    підтримують HSTS.

  • Opera з версії 12.

  • Safari з комплекту OS X Mavericks.

Важливо відзначити, що якщо веб-сайт отримує підключення через HTTP і перенаправляє їх на HTTPS, то користувач може помилково звернутися до не зашифрованої версії сайту до перенаправлення. Це відкриває потенційну можливість проведення атаки, в якій HTTP- перенаправлення в місце оригінальної зашифрованою сторінки відправить користувача на підставний сайт.

Механізм HTTP Strict Transport Security дозволяє веб-сайту повідомити браузеру, що той не повинен використовувати HTTP і, замість цього, автоматично зі своє боку перетворювати все HTTP-запити в HTTPS.

Існує проміжок, в якому користувач з новою версією браузера і скинутими настройками виявляється вразливим. З цієї причини Chrome і Firefox підтримують список HSTS ресурсів.

Наші фахівці готові реалізувати на Вашому проекті механізм HTTP Strict Transport Security, щоб Ваші клієнти могли безпечно відвідувати сайт. Крім цього, ми можемо підібрати інші способи поліпшення роботи Вашого сайту.

Наша команда успішно реалізувала це оновлення і готова запропонувати Вам інші поліпшення, які позитивно позначаться на працездатності Вашого проекту.

Наші фахівці будуть раді запропонувати Вам і інші поліпшення, які допоможуть Вам контролювати всі зміни в проектах і при необхідності вносити свої корективи, збільшивши безпеку Вашого проекту.