上周五,Google安全團隊宣布他們已經對其域名Google.com采用了HSTS。
FreeBuf百科:什么是HSTS?
HSTS代表HTTP Strict Transport Security,這是國際互聯網工程組織IETE正在推行的一種Web安全協議。HSTS的作用是強制客戶端(如瀏覽器)使用HTTPS與服務器創建連接,因此如果你訪問的網站啟用了HSTS,那么瀏覽器將會記住這一標記,確保未來每次訪問該網站都會自動定向到HTTPS,不會在無意中訪問不安全的HTTP。
HSTS這個協議還能保護用戶的數據免受HTTPS降級攻擊(跳轉時直接降級為HTTP)、中間人攻擊、SSL攻擊和Cookie劫持。這一協議被認為是保護HTTPS連接免受SSL攻擊最好的方法,但這一協議還沒有被大多數瀏覽器支持。
95%的Https網站沒有使用HSTS
去年三月份,Netcraft做了一項調查報告,報告顯示當前百分之95的服務器運行的HTTPS沒有正確地設置HSTS或是配置錯誤,以至于將HTTPS連接暴露于攻擊風險之中。而針對這些不安全的站點最容易的攻擊場景是 HTTPS 降級攻擊,攻擊者可以選擇多種方式來迫使一個看起來安全的 HTTPS 連接根本不使用數據加密,以進行數據竊取。
為了支持HSTS機制,谷歌方面做了很多的工作,包括解決混合內容(HTTPS頁面含有HTTP內容),損壞的HREFs(超文本引用),以及重定向到HTTP。除此之外,谷歌還需要對一些遺留的服務進行更新。由于谷歌的訪問量很大,安全問題更是重中之重,所以支持HSTS對于谷歌來說十分必要。谷歌表示在傳輸中加密數據有助于保護用戶及其數據安全。目前旗魚瀏覽器等主流瀏覽器都支持HSTS機制,因此只要網站支持https,針對HTTP的漏洞就越來越難以發揮作用。
谷歌的技術產品經理Jay Brown表示:
我們對于實施HSTS是很激動的,在傳輸時加密數據可以保護用戶數據的安全,我們會在未來幾個月內將其擴展到更多的領域和谷歌產品當中。
京公網安備 11010502049343號