您可能已經確保您的網站啟用了SSL,並且瀏覽器中漂亮的安全掛鎖是綠色的。然而,您可能已經忘記了HTTP的小安全人httpstrict Transport security(HSTS)。
什麼是HSTS,它如何幫助您的網站保持安全?
超文本傳輸協議安全(HTTPS)是網站(HTTP)的安全版本。使用安全套接字層(SSL)協議啟用加密,並使用SSL證書進行驗證。當您連接到HTTPS網站時,網站和用戶之間傳輸的信息是加密的。
此加密有助於防止通過中間人攻擊(MITM)竊取數據。添加的安全層也有助於提高網站的聲譽。事實上,添加SSL證書非常簡單,許多web主機將默認情況下免費將其添加到您的站點!也就是說,HTTPS仍然有一些缺陷,HST可以幫助修復。
HSTS是一個響應頭,通知瀏覽器,啟用的網站只能通過HTTPS訪問。這迫使瀏覽器只能訪問網站的HTTPS版本及其上的任何資源。
您可能不知道,即使您已正確設置SSL證書併為網站啟用HTTPS,HTTP版本仍然可用。即使您使用301永久重定向設置了轉發,這也是正確的。
儘管HSTS政策已經存在了一段時間,但直到2016年7月谷歌才正式推出。這也許就是為什麼你還沒聽說過很多。
啟用HSTS將阻止SSL協議攻擊和cookie劫持,這是啟用SSL的網站中的另外兩個漏洞。此外,除了使網站更安全,HSTS將通過刪除加載過程中的一個步驟,使網站加載更快。
雖然HTTPS是HTTP的一個巨大改進,但它並不是不受黑客攻擊的。SSL剝離是一種非常常見的MITM黑客攻擊,用於使用重定向將用戶從HTTP發送到其網站的HTTPS版本。
301(永久)和302(臨時)重定向基本上是這樣工作的:
通過SSL剝離,黑客可以利用第3步到第4步之間的時間阻止重定向請求,並阻止瀏覽器加載網站的安全(HTTPS)版本。當您訪問未加密版本的網站時,您輸入的任何數據都可能被竊取。
黑客還可以重定向到你試圖訪問的網站的副本,並在你****時捕獲所有的數據,即使看起來很安全。
谷歌已經在Chrome中實施了一些步驟來阻止某些類型的重定向。但是,從現在起,啟用HSTS應該是默認情況下為所有網站執行的操作。
啟用HST將強制瀏覽器加載網站的安全版本,並忽略任何重定向和任何其他調用以打開HTTP連接。這將關閉301和302重定向存在的重定向漏洞。
HST也有負面的一面,也就是說用戶的瀏覽器至少要查看一次HSTS頭,才能利用它進行將來的訪問。這意味著他們至少要經歷一次HTTP>HTTPS進程,這使得他們第一次訪問啟用HSTS的網站時就容易受到攻擊。
為了解決這個問題,Chrome會預先加載一個啟用了HSTS的網站列表。如果符合要求(簡單)的標準,用戶可以將支持HSTS的網站提交到預加載列表中。
添加到此列表中的網站將被硬編碼到Chrome更新的未來版本中。它確保所有訪問你的HSTS網站的人都能在Chrome的更新版本中保持安全。
Firefox、Opera、Safari和internetexplorer都有自己的HSTS預加載列表,但它們是基於瀏覽器上的Chrome列表的hstspreload.org網站.
要在網站上啟用HST,首先需要有有效的SSL證書。如果您啟用HST而不啟用HST,則您的網站將不適用於任何訪問者,因此請確保您的網站和任何子域在繼續之前都在HTTPS上工作。
啟用HSTS相當容易。您只需要在站點上的.htaccess文件中添加一個頭文件。需要添加的標題為:
Strict-Transport-Security: max-age=31536000; includeSubDomains這會添加一年最大年齡訪問cookie(什麼是cookie?),包括您的網站和任何子域。一旦瀏覽器訪問了該網站,它將無法訪問一年內該網站的不安全HTTP版本。確保此域上的所有子域都包含在SSL證書中,並且啟用了HTTPS。如果忘記了這一點,則在保存.htaccess文件後,將無法訪問子域。
缺少includeSubDomains選項的網站可以允許子域操縱cookies,從而使訪問者暴露於隱私洩露。啟用includeSubDomains後,這些與cookie相關的攻擊將不可能發生。
注意:在添加一年最大年齡之前,請先使用:max age=300測試整個網站的5分鐘最大年齡;
谷歌甚至建議你測試你的網站和它的性能(流量)一週,一個月的價值,以及之前實施兩年的最大年齡。
Five minutes: Strict-Transport-Security: max-age=300; includeSubDomainsOne week: Strict-Transport-Security: max-age=604800; includeSubDomainsOne month: Strict-Transport-Security: max-age=2592000; includeSubDomains到現在為止,你應該熟悉的HST和為什麼它是重要的,你的網站使用它。保持你的網站訪問者安全在線應該是一個關鍵因素,你的網站計劃。
要獲得Chrome和其他瀏覽器使用的HSTS預加載列表的資格,您的網站必須滿足以下要求:
如果要將網站添加到HSTS預加載列表中,請確保添加所需的預加載標記。“預加載”選項表示希望將網站添加到Chrome的HSTS預加載列表中。然後.htaccess中的響應標頭應如下所示:
Strict-Transport-Security: max-age=63072000; includeSubDomains; preload我們建議您將網站添加到hstspreload.org網站. 這些要求很容易滿足,這將有助於保護網站的訪問者,並有可能提高網站的搜索引擎排名。
...抓住觀眾的心,寫部落格是很賺錢的。這也取決於你在寫什麼。然而,無論你每月瀏覽量是1000萬,還是隻有10萬,你的部落格可能仍然是駭客攻擊的目標。 ...
...我們將向您展示駭客使用SIM卡訪問裝置的一些方法,以及如何保護SIM卡安全的建議。 ...
... 那麼什麼是資料洩露呢?這就是我們將在下面解釋的內容,以及如何保護自己免受未來違規行為的建議。 ...
...”對您沒有任何意義,那麼您不必擔心這一步。相反,為什麼不看看為什麼你需要一個VPN的一些原因,以及它意味著什麼? ...
... 那麼,網站是如何入侵iPhone的呢?你應該做些什麼來保護自己免受這些駭客攻擊呢?我們有你需要知道的所有細節。 ...