| +22 голоса |
|
Организация Internet Engineering Task Force (IETF), ответственная за разработку и внедрение стандартов Интернет, опубликовала в статусе официального стандарта (RFC 6797) спецификацию HSTS (HTTP Strict Transport Security).
Новый механизм обеспечения веб-безопасности обещает сделать HTTPS-сайты более защищенными от различного типа атак. Он позволяет веб-ресурсам декларировать для себя доступ только через HTTPS, предотвращая попытки хакеров перенаправить соединение через HTTP или использовать ошибки в реализациях HTTPS для взлома сайтов.
Группа IETF Web Security работала над HSTS c 2010 г., когда его предварительная версия была предложена Джеффом Ходжесом (Jeff Hodges) из PayPal, Коллином Джексоном (Collin Jackson) из университета Карнеги Меллона и Адамом Барзом (Adam Barth) из Google.
HSTS призван предупредить ситуации, связанные со смешанным контентом, то есть загрузку скриптов и других ресурсов на HTTPS-сайт из сторонних источников через небезопасное соединение. Обычно это происходит в результате ошибки или сознательных действий разработчиков движка сайта.
При обращении к незащищенному ресурсу браузер делает запрос, посылая через HTTP данные пользовательской сессии. Перехватив такой запрос, хакер может использовать куки для взлома учетной записи посетителя сайта.
Механизм HSTS также предотвращает сценарии с участием посредника, в которых хакер способен перехватывать соединение пользователя с сайтом и вынуждать браузер использовать версию HTTP вместо HTTPS.
Когда браузер подключается через HTTPS к веб-сайту с поддержкой HSTS, строгая транспортная политика сохраняется и запоминается на определенный период времени. В течение этого срока браузер будет отказываться устанавливать незащищенное соединение с таким сайтом. Политика HSTS устанавливается и возобновляется специальным полем в заголовке отклика HTTP, носящем название Strict-Transport-Security. HSTS не полагается на привычное предупреждение о несоответствии сертификата – при обнаружении проблемы с HTTPS браузер просто блокирует соединение, не предоставляя пользователю возможности оспорить решение.
Даже с HSTS существует небольшая вероятность блокирования доступа к HTTPS с переключением на HTTP при первом посещении сайта. Чтобы предотвратить это, браузеры, такие как Chrome или Firefox, снабжаются списком популярных веб-адресов, для которых HSTS должна быть включена по умолчанию.
Согласно данным проекта SSL Pulse, отслеживающего применение HTTPS на наиболее посещаемых сайтах, пока только 1700 из 180 тыс. HTTPS-совместимых веб-ресурсов поддерживают HSTS.
Вдобавок, даже на этих немногочисленных сайтах, новый стандарт зачастую внедрен с ошибками, снижающими его эффективность. Наиболее распространенная из них – установление короткого срока валидности политик HSTS, которые имеют наибольший смысл, если действуют продолжительное время: дни или даже месяцы.
По мнению экспертов, даже стандартизация HSTS не гарантирует широкого признания этой технологии: веб-операторы, по их словам, традиционно характеризуются беспорядочностью политик и применяют, все что им нужно независимо от того, стандарт это или нет.
Из наиболее популярных ресурсов на данный момент HSTS поддерживают PayPal, Twitter и разные сервисы Google. Facebook работает над внедрением постоянного HTTPS для своего сайта, но пока реализует для этого, не HSTS, а собственный подход.
Стратегія охолодження ЦОД для епохи AI
| +22 голоса |
|
