alizar16 ноя 2010 в 18:42

HSTS будет внедрён в Firefox и Google Chrome

1 мин

Информационная безопасность *

+37

Комментарии 26

НЛО прилетело и опубликовало эту надпись здесь

Mairon 16 ноя 2010 в 20:07

Нет, никто из них эту спецификацию не поддерживает.

Isis 16 ноя 2010 в 20:15

горбатого мозила исправит

bruce 16 ноя 2010 в 23:48

> Проблема существует с 2001 года, когда выпустили IE6.

Проблема существовала и раньше. IE 5.5, например, умирал очень долго. Так что не стоит надеяться на девятый IE. Он может казаться неплохим сейчас, но через 10 лет мы его будем проклинать :)

Mairon 16 ноя 2010 в 20:03

Chromium это уже давно умеет. Я на Википедии это ещё осенью писал, а в Chromium впихнули ещё в январе
Пруф

Mairon 16 ноя 2010 в 20:07

Даже Google Chrome 7 его поддерживает, и Mozilla Firefox 4 b6 тоже. Только что проверил.

НЛО прилетело и опубликовало эту надпись здесь

Mairon 16 ноя 2010 в 20:12

Вы хоть поняли, что сказали? В январе был ещё Chromium 4-5, тогда как сейчас на дворе Google Chrome 7-9.
Не знаю, что там Fedora для Red Hat, но Chromium для разработчиков Google Chrome — альфа-версия.

НЛО прилетело и опубликовало эту надпись здесь

scam 16 ноя 2010 в 21:01

Бред несете.

KindDragon 16 ноя 2010 в 20:06

Последняя бета версия Firefox 4 уже поддерживает HSTS

dazran 16 ноя 2010 в 20:44

А есть реально работающие сайты использующие это?

leotsarev 17 ноя 2010 в 13:44

PayPal

Vasily_Pupkin 16 ноя 2010 в 20:45

Я немного не понял. Эта директива возвращается сервером? Что мешает при MitM её потереть? Что мешает просто предоставлять исключительно https?

НЛО прилетело и опубликовало эту надпись здесь

exIV 17 ноя 2010 в 01:47

Только вот совсем не понятно все-таки мне зачем это надо, если можно просто редиректить на https и все, если тебе так сильно нужен https, а на http чтоб ничего кроме 301 редиректа и не было…

alienff 17 ноя 2010 в 07:34

Я так понимаю затем, что если кто-то стоит посередине, то в момент этого самого редиркета он клиенту ничего не отправит. А установит шифрованное соединение с сервером. И потом будет два соединения — нешифрованное от клиента до человека-по-середине и шифрованное от человека-по-середине до сервера.

alienff 17 ноя 2010 в 07:28

Если с сервака Сразу пойдет шифрованный траф, то как его прочитать? О_о
Ведь сначала надо договориться об алгоритме шифрования, сделать ключ… А клиент знать не знает про это. Он же по http соединяется.

Vile55 17 ноя 2010 в 00:10

Хорошая MitM будет вестись с применением скомпрометированного корневого сертификата. И на уровне провайдера.
То есть для любого устанавливаемого защищенного соединения будет сгенерирован подходящий сертификат, подписанный скомпрометированным (или добавленным в систему корневым) сертификатом.
Пользователь не только не сможет предотвратить такой атаки, но и даже ее не заметит.

Vile55 17 ноя 2010 в 00:17

Кстати для уменьшения click-through insecurity реализация данного стандарта тоже не сильно поможет. Пользователь просто запустит другой браузер, который «работает».

exIV 17 ноя 2010 в 01:53

Ну для этого надо как минимум скомпроментированный корневой сертификат… как показал опыт Stuxnet конечно можно много чего откопать, но все-таки это сложно…

exIV 17 ноя 2010 в 01:54

точнее говоря для простых смертных просто не доступно…

Vasily_Pupkin 17 ноя 2010 в 06:44

> Хорошая MitM будет вестись с применением скомпрометированного _корневого_ сертификата.

Vasily_Pupkin 17 ноя 2010 в 06:44

Неплохие у тебя запросы

Vile55 17 ноя 2010 в 07:28

Судя по тому что мне рассказывали китайцы — китай вполне успешно их проводит.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий