Сетевая безопасность
HTTP Strict Transport Security (HSTS)
Также известно как: Strict-Transport-Security, Заголовок HSTS
Определение
Политика веб-безопасности, передаваемая HTTP-заголовком и указывающая браузеру обращаться к домену в течение заданного срока только по HTTPS.
HSTS, определённый в RFC 6797, передаётся через заголовок ответа Strict-Transport-Security. Получив этот заголовок, совместимый браузер запоминает политику и автоматически переводит все последующие запросы к этому хосту (и при желании к его поддоменам) на HTTPS, отказываясь подключаться при сбое TLS-рукопожатия или проверки сертификата. Это нейтрализует атаки SSL Stripping и подмену cookie в первых запросах. Лучшая практика — длительный max-age, директивы includeSubDomains и preload, а также включение домена в браузерный список HSTS preload, чтобы первый визит также был защищён.
Примеры
- Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
- Банк подаёт корневой домен в список HSTS preload браузера Chromium.
Связанные термины
HTTPS
HTTPS — definition coming soon.
TLS (Transport Layer Security)
TLS (Transport Layer Security) — definition coming soon.
SSL Stripping
Атака «человек посередине», незаметно понижающая HTTPS-соединение жертвы до открытого HTTP, чтобы злоумышленник мог читать и изменять трафик.
Secure Cookie Flag
Secure Cookie Flag — definition coming soon.
HTTP Security Headers
HTTP Security Headers — definition coming soon.
Удостоверяющий центр (УЦ)
Доверенная организация, выпускающая и подписывающая цифровые сертификаты, связывая открытые ключи с подтверждёнными идентичностями — например, доменами или организациями.