Pull to refresh

HSTS будет внедрён в Firefox и Google Chrome

Information Security *
В ближайшее время стандарт HTTP Strict Transport Security (HSTS) будет поддерживаться браузерами Firefox и Google Chrome.

Эта спецификация обеспечивает абсолютно гарантированный способ коммуникации клиента с сервером только через защищённый протокол.

В настоящее время, пока данный стандарт не поддерживается, при соединении с сервером по умолчанию устанавливается соединение HTTP, и только потом браузер переключается на HTTPS, если есть такая возможность. Подобный механизм оставляет возможность для атаки типа man-in-the-middle. В свою очередь, протокол HSTS призван закрыть данную уязвимость. При поддержке HSTS создатели сайта могут поставить на сервере следующую команду

Strict-Transport-Security: max-age=15768000

Параметр max-age устанавливает время в секундах, сколько использовать принудительно сессию HTTPS.

И тогда все запросы по HTTP будут принудительно перенаправлены на HTTPS.

Разработчики Firefox объявили, что его поддержку внедрят в ближайшей версии.
Tags:
Hubs:
Total votes 45: ↑41 and ↓4 +37
Views 3.7K
Comments Comments 26