一種能夠幫助HTTPS網(wǎng)站更好地抵御各種類型攻擊的Web安全政策機(jī)制已經(jīng)作為互聯(lián)網(wǎng)標(biāo)準(zhǔn)被批準(zhǔn)和發(fā)布,,但除了一些高知名度的網(wǎng)站的支持外,,其他網(wǎng)站的部署率仍然很低,。
HTTP嚴(yán)格傳輸安全協(xié)議(HSTS,Strict Transport Security)允許網(wǎng)站只接受通過HTTPS(安全HTTP)的連接,該協(xié)議的目的是防止黑客迫使用戶通過HTTP連接或者濫用HTTPS部署中的錯(cuò)誤來破壞內(nèi)容完整性,。
負(fù)責(zé)開發(fā)和推廣互聯(lián)網(wǎng)標(biāo)準(zhǔn)的互聯(lián)網(wǎng)工程任務(wù)組(IETF)近日發(fā)布了HSTS規(guī)范作為正式標(biāo)準(zhǔn)文件RFC 6797,。IETF的網(wǎng)絡(luò)安全工作組自2010以來一直在研究該協(xié)議,該協(xié)議最初由Paypal的Jeff Hodges,、卡內(nèi)基梅隆大學(xué)的Collin Jackson和谷歌的Adam Barth作為草案提交,。
HSTS防止所謂的混合內(nèi)容問題影響HTTPS網(wǎng)站的安全性和完整性。當(dāng)被嵌入到HTTPS網(wǎng)站腳本或者其他資源從第三方地點(diǎn)通過不安全連接加載時(shí),,就會(huì)出現(xiàn)混合內(nèi)容問題,,這可能是開發(fā)錯(cuò)誤或者是故意的。
當(dāng)瀏覽器加載不安全資源時(shí),,它會(huì)通過普通的HTTP發(fā)出請(qǐng)求,,也可能會(huì)一起發(fā)送用戶的會(huì)話cookie。攻擊者可以使用網(wǎng)絡(luò)嗅探技術(shù)來攔截這個(gè)請(qǐng)求,,然后使用用戶的cookie來攻擊用戶的賬戶,。
HSTS機(jī)制還可以抵御中間人攻擊,在這種攻擊中,,攻擊者試圖攔截用戶到網(wǎng)站的連接,,強(qiáng)制用戶的瀏覽器訪問該網(wǎng)站的HTTP版本,而不是HTTPS版本,。這項(xiàng)技術(shù)被稱為HTTPS或者SSL分離,,并有很多工具可以自動(dòng)執(zhí)行。
當(dāng)瀏覽器通過HTTPS連接到支持HSTS的網(wǎng)站時(shí),,該網(wǎng)站的嚴(yán)格傳輸安全協(xié)議將被保存(在指定的一段時(shí)間內(nèi))。從這個(gè)時(shí)候起,,只要緩存的政策沒有過期,,瀏覽器都會(huì)拒絕啟動(dòng)與該網(wǎng)站的不安全連接。
HSTS政策通過HTTP響應(yīng)表頭域(被稱為Strict-Transport-Security)來傳輸,,相同的表頭也可以用于更新政策,。
安全公司Qualys工程主管Ivan Ristic表示,HSTS對(duì)于SSL來說是一件極好的事情,,因?yàn)樵谒迯?fù)了18年前該協(xié)議最初設(shè)計(jì)時(shí)存在的一些錯(cuò)誤,,并且,它還根據(jù)web瀏覽器運(yùn)行方式的改變而做出了調(diào)整,。
例如,,依賴于證書警告是一個(gè)大錯(cuò)誤,因?yàn)橛脩麴B(yǎng)成了忽視和覆蓋它們的習(xí)慣,。在大多數(shù)情況下,,這不是一個(gè)大問題,但即使是1%的情況,這也是危險(xiǎn)的,。
HSTS不依賴于證書警告,。如果在HTTPS部署中檢測(cè)到問題,瀏覽器會(huì)簡(jiǎn)單地拒絕連接,,不會(huì)為用戶提供機(jī)會(huì)來覆蓋這個(gè)決定,。
即使對(duì)于啟用HSTS的網(wǎng)站,仍然存在很小的攻擊機(jī)會(huì),,例如,,當(dāng)瀏覽器第一次訪問網(wǎng)站,而沒有為其保存HSTS政策時(shí),。在這種情況下,,攻擊者可以阻止它到達(dá)HTTPS版本的網(wǎng)站,而強(qiáng)迫使用HTTP連接,。
為了解決這個(gè)問題,,Chrome和Firefox等瀏覽器具有預(yù)加載流行網(wǎng)站列表,在默認(rèn)情況下,,這些網(wǎng)站將會(huì)強(qiáng)制執(zhí)行HSTS,。
根據(jù)SSL Pulse(監(jiān)測(cè)世界上訪問量最大網(wǎng)站的HTTPS部署情況的項(xiàng)目)像是,在前18萬啟用HTTPS的網(wǎng)站中,,只有1700支持HSTS,。
Ristic表示,出了整體HSTS部署率偏低外,,一些網(wǎng)站仍然在支持存在執(zhí)行問題的功能,。
例如,一些只為HSTS政策指定很短的有效期(也被稱為生存時(shí)間),。如果要確保HSTS的有效性,,有效期至少應(yīng)該要幾天,如果無法達(dá)到幾個(gè)月的話,。
Ristic不認(rèn)為HSTS成為正式互聯(lián)網(wǎng)標(biāo)準(zhǔn)的事實(shí)一定能夠推動(dòng)部署率,。網(wǎng)站經(jīng)營者一直都很樂觀,部署任何適用于他們的協(xié)議,,而不管協(xié)議是否是標(biāo)準(zhǔn),。
“我認(rèn)為HSTS的最大問題是教育,”Ristic表示,,“人們需要了解到它的存在,。”
目前支持HSTS的流行網(wǎng)站包括Paypal、Twitter和各種谷歌服務(wù),。Facebook正在為其網(wǎng)站部署始終開啟的HTTPS,,但仍然不支持HSTS,。
本文轉(zhuǎn)載自企業(yè)級(jí)IT信息服務(wù)平臺(tái)-網(wǎng)界網(wǎng)-CNW.com.cn
原文地址:http://www.cnw.com.cn/news-international/htm2012/20121123_259083.shtml
本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問題,,請(qǐng)及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。