本篇文章679字,读完约2分钟
2月17日,微软今天宣布在ie浏览器中支持超文本传输协议严格传输安全(HSTS),并将在未来的win10 Spartan浏览器中支持它。
Http严格传输安全,http强制传输用于确保终端用户只能在使用安全的https连接时才能连接到服务器。当浏览器向服务器发送请求时,每次收到标题时都会添加一个标志,这样HST就可以确保通过广泛使用的https协议对与网站的连接进行加密。由于所有后续连接都是加密的,HST可以保护用户免受降级攻击,也就是说,黑客将加密的连接转换回纯文本http。由于传输过程是加密的,因此可以防止中间人攻击,降低信息泄露的风险。
HST可以用来抵抗ssl剥离攻击。Ssl剥离攻击是一种中间人攻击,由莫邪·马林斯皮克于2009年发明。在那年黑帽会议上发表的题为“实践中保护SSL的新技巧”的演讲中,他公开了这次攻击。Ssl剥离是通过阻止浏览器创建与服务器的https连接来实现的。其前提是用户很少直接在地址栏中输入https://,用户总是通过点击链接或3xx重定向从http页面中输入https页面。因此,当用户访问http页面时,攻击者可以用http://替换https://开头的所有链接,从而阻止https。
Hsts可以在很大程度上解决ssl剥离攻击,因为只要浏览器一旦与服务器建立了安全连接,浏览器就会在此后强制使用https,即使链接被更改为http。
此外,如果中间人使用自己的自签名证书进行攻击,浏览器会给出警告,但许多用户会忽略该警告。Hsts解决了这个问题。一旦服务器发送hsts字段,用户将不再被允许忽略该警告。