科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道路由交换HTTP严格传输安全协议成互联网标准

HTTP严格传输安全协议成互联网标准

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

一种能够帮助HTTPS网站更好地抵御各种类型攻击的Web安全政策机制已经作为互联网标准被批准和发布,但除了一些高知名度的网站的支持外,其他网站的部署率仍然很低。

来源:网界网 2012年11月26日

关键字: http 传输协议 安全协议 HTTP严格传输安全协议

  • 评论
  • 分享微博
  • 分享邮件

一种能够帮助HTTPS网站更好地抵御各种类型攻击的Web安全政策机制已经作为互联网标准被批准和发布,但除了一些高知名度的网站的支持外,其他网站的部署率仍然很低。

HTTP严格传输安全协议(HSTS,Strict Transport Security)允许网站只接受通过HTTPS(安全HTTP)的连接,该协议的目的是防止黑客迫使用户通过HTTP连接或者滥用HTTPS部署中的错误来破坏内容完整性。

负责开发和推广互联网标准的互联网工程任务组(IETF)近日发布了HSTS规范作为正式标准文件RFC 6797。IETF的网络安全工作组自2010以来一直在研究该协议,该协议最初由Paypal的Jeff Hodges、卡内基梅隆大学的Collin Jackson和谷歌的Adam Barth作为草案提交。

HSTS防止所谓的混合内容问题影响HTTPS网站的安全性和完整性。当被嵌入到HTTPS网站脚本或者其他资源从第三方地点通过不安全连接加载时,就会出现混合内容问题,这可能是开发错误或者是故意的。

当浏览器加载不安全资源时,它会通过普通的HTTP发出请求,也可能会一起发送用户的会话cookie。攻击者可以使用网络嗅探技术来拦截这个请求,然后使用用户的cookie来攻击用户的账户。

HSTS机制还可以抵御中间人攻击,在这种攻击中,攻击者试图拦截用户到网站的连接,强制用户的浏览器访问该网站的HTTP版本,而不是HTTPS版本。这项技术被称为HTTPS或者SSL分离,并有很多工具可以自动执行。

当浏览器通过HTTPS连接到支持HSTS的网站时,该网站的严格传输安全协议将被保存(在指定的一段时间内)。从这个时候起,只要缓存的政策没有过期,浏览器都会拒绝启动与该网站的不安全连接。

HSTS政策通过HTTP响应表头域(被称为Strict-Transport-Security)来传输,相同的表头也可以用于更新政策。

安全公司Qualys工程主管Ivan Ristic表示,HSTS对于SSL来说是一件极好的事情,因为在它修复了18年前该协议最初设计时存在的一些错误,并且,它还根据web浏览器运行方式的改变而做出了调整。

例如,依赖于证书警告是一个大错误,因为用户养成了忽视和覆盖它们的习惯。在大多数情况下,这不是一个大问题,但即使是1%的情况,这也是危险的。

HSTS不依赖于证书警告。如果在HTTPS部署中检测到问题,浏览器会简单地拒绝连接,不会为用户提供机会来覆盖这个决定。

即使对于启用HSTS的网站,仍然存在很小的攻击机会,例如,当浏览器第一次访问网站,而没有为其保存HSTS政策时。在这种情况下,攻击者可以阻止它到达HTTPS版本的网站,而强迫使用HTTP连接。

为了解决这个问题,Chrome和Firefox等浏览器具有预加载流行网站列表,在默认情况下,这些网站将会强制执行HSTS。

根据SSL Pulse(监测世界上访问量最大网站的HTTPS部署情况的项目)像是,在前18万启用HTTPS的网站中,只有1700支持HSTS。

Ristic表示,出了整体HSTS部署率偏低外,一些网站仍然在支持存在执行问题的功能。

例如,一些只为HSTS政策指定很短的有效期(也被称为生存时间)。如果要确保HSTS的有效性,有效期至少应该要几天,如果无法达到几个月的话。

Ristic不认为HSTS成为正式互联网标准的事实一定能够推动部署率。网站经营者一直都很乐观,部署任何适用于他们的协议,而不管协议是否是标准。

“我认为HSTS的最大问题是教育,”Ristic表示,“人们需要了解到它的存在。”

目前支持HSTS的流行网站包括Paypal、Twitter和各种谷歌服务。Facebook正在为其网站部署始终开启的HTTPS,但仍然不支持HSTS。


    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章