|
HTTP严格传输安全协议成互联网标准一种能够帮助HTTPS网站更好地抵御各种类型攻击的Web安全政策机制已经作为互联网标准被批准和发布,但除了一些高知名度的网站的支持外,其他网站的部署率仍然很低。 一种能够帮助HTTPS网站更好地抵御各种类型攻击的Web安全政策机制已经作为互联网标准被批准和发布,但除了一些高知名度的网站的支持外,其他网站的部署率仍然很低。 HTTP严格传输安全协议(HSTS,Strict Transport Security)允许网站只接受通过HTTPS(安全HTTP)的连接,该协议的目的是防止黑客迫使用户通过HTTP连接或者滥用HTTPS部署中的错误来破坏内容完整性。 负责开发和推广互联网标准的互联网工程任务组(IETF)近日发布了HSTS规范作为正式标准文件RFC 6797。IETF的网络安全工作组自2010以来一直在研究该协议,该协议最初由Paypal的Jeff Hodges、卡内基梅隆大学的Collin Jackson和谷歌的Adam Barth作为草案提交。 HSTS防止所谓的混合内容问题影响HTTPS网站的安全性和完整性。当被嵌入到HTTPS网站脚本或者其他资源从第三方地点通过不安全连接加载时,就会出现混合内容问题,这可能是开发错误或者是故意的。 当浏览器加载不安全资源时,它会通过普通的HTTP发出请求,也可能会一起发送用户的会话cookie。攻击者可以使用网络嗅探技术来拦截这个请求,然后使用用户的cookie来攻击用户的账户。 HSTS机制还可以抵御中间人攻击,在这种攻击中,攻击者试图拦截用户到网站的连接,强制用户的浏览器访问该网站的HTTP版本,而不是HTTPS版本。这项技术被称为HTTPS或者SSL分离,并有很多工具可以自动执行。 当浏览器通过HTTPS连接到支持HSTS的网站时,该网站的严格传输安全协议将被保存(在指定的一段时间内)。从这个时候起,只要缓存的政策没有过期,浏览器都会拒绝启动与该网站的不安全连接。 HSTS政策通过HTTP响应表头域(被称为Strict-Transport-Security)来传输,相同的表头也可以用于更新政策。 安全公司Qualys工程主管Ivan Ristic表示,HSTS对于SSL来说是一件极好的事情,因为在它修复了18年前该协议最初设计时存在的一些错误,并且,它还根据web浏览器运行方式的改变而做出了调整。 例如,依赖于证书警告是一个大错误,因为用户养成了忽视和覆盖它们的习惯。在大多数情况下,这不是一个大问题,但即使是1%的情况,这也是危险的。 HSTS不依赖于证书警告。如果在HTTPS部署中检测到问题,浏览器会简单地拒绝连接,不会为用户提供机会来覆盖这个决定。 即使对于启用HSTS的网站,仍然存在很小的攻击机会,例如,当浏览器第一次访问网站,而没有为其保存HSTS政策时。在这种情况下,攻击者可以阻止它到达HTTPS版本的网站,而强迫使用HTTP连接。 为了解决这个问题,Chrome和Firefox等浏览器具有预加载流行网站列表,在默认情况下,这些网站将会强制执行HSTS。 根据SSL Pulse(监测世界上访问量最大网站的HTTPS部署情况的项目)像是,在前18万启用HTTPS的网站中,只有1700支持HSTS。 Ristic表示,出了整体HSTS部署率偏低外,一些网站仍然在支持存在执行问题的功能。 例如,一些只为HSTS政策指定很短的有效期(也被称为生存时间)。如果要确保HSTS的有效性,有效期至少应该要几天,如果无法达到几个月的话。 Ristic不认为HSTS成为正式互联网标准的事实一定能够推动部署率。网站经营者一直都很乐观,部署任何适用于他们的协议,而不管协议是否是标准。 “我认为HSTS的最大问题是教育,”Ristic表示,“人们需要了解到它的存在。” 目前支持HSTS的流行网站包括Paypal、Twitter和各种谷歌服务。Facebook正在为其网站部署始终开启的HTTPS,但仍然不支持HSTS。 责编:孔维维 微信扫一扫实时了解行业动态 微信扫一扫分享本文给好友 著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。 |
最新专题 |
|