HTTP严格传输安全协议成互联网标准
2012-11-23
来源:来源:网界网
一种能够帮助HTTPS网站更好地抵御各种类型攻击的Web安全政策机制已经作为互联网标准被批准和发布,但除了一些高知名度的网站的支持外,其他网站的部署率仍然很低。
HTTP严格传输安全协议(HSTS,Strict Transport Security)允许网站只接受通过HTTPS(安全HTTP)的连接,该协议的目的是防止黑客迫使用户通过HTTP连接或者滥用HTTPS部署中的错误来破坏内容完整性。
负责开发和推广互联网标准的互联网工程任务组(IETF)近日发布了HSTS规范作为正式标准文件RFC 6797。IETF的网络安全工作组自2010以来一直在研究该协议,该协议最初由Paypal的Jeff Hodges、卡内基梅隆大学的Collin Jackson和谷歌的Adam Barth作为草案提交。
HSTS防止所谓的混合内容问题影响HTTPS网站的安全性和完整性。当被嵌入到HTTPS网站脚本或者其他资源从第三方地点通过不安全连接加载时,就会出现混合内容问题,这可能是开发错误或者是故意的。
当浏览器加载不安全资源时,它会通过普通的HTTP发出请求,也可能会一起发送用户的会话cookie。攻击者可以使用网络嗅探技术来拦截这个请求,然后使用用户的cookie来攻击用户的账户。
HSTS机制还可以抵御中间人攻击,在这种攻击中,攻击者试图拦截用户到网站的连接,强制用户的浏览器访问该网站的HTTP版本,而不是HTTPS版本。这项技术被称为HTTPS或者SSL分离,并有很多工具可以自动执行。
当浏览器通过HTTPS连接到支持HSTS的网站时,该网站的严格传输安全协议将被保存(在指定的一段时间内)。从这个时候起,只要缓存的政策没有过期,浏览器都会拒绝启动与该网站的不安全连接。
HSTS政策通过HTTP响应表头域(被称为Strict-Transport-Security)来传输,相同的表头也可以用于更新政策。
安全公司Qualys工程主管Ivan Ristic表示,HSTS对于SSL来说是一件极好的事情,因为在它修复了18年前该协议最初设计时存在的一些错误,并且,它还根据web浏览器运行方式的改变而做出了调整。
例如,依赖于证书警告是一个大错误,因为用户养成了忽视和覆盖它们的习惯。在大多数情况下,这不是一个大问题,但即使是1%的情况,这也是危险的。
HSTS不依赖于证书警告。如果在HTTPS部署中检测到问题,浏览器会简单地拒绝连接,不会为用户提供机会来覆盖这个决定。
即使对于启用HSTS的网站,仍然存在很小的攻击机会,例如,当浏览器第一次访问网站,而没有为其保存HSTS政策时。在这种情况下,攻击者可以阻止它到达HTTPS版本的网站,而强迫使用HTTP连接。
为了解决这个问题,Chrome和Firefox等浏览器具有预加载流行网站列表,在默认情况下,这些网站将会强制执行HSTS。
根据SSL Pulse(监测世界上访问量最大网站的HTTPS部署情况的项目)像是,在前18万启用HTTPS的网站中,只有1700支持HSTS。
Ristic表示,出了整体HSTS部署率偏低外,一些网站仍然在支持存在执行问题的功能。
例如,一些只为HSTS政策指定很短的有效期(也被称为生存时间)。如果要确保HSTS的有效性,有效期至少应该要几天,如果无法达到几个月的话。
Ristic不认为HSTS成为正式互联网标准的事实一定能够推动部署率。网站经营者一直都很乐观,部署任何适用于他们的协议,而不管协议是否是标准。
“我认为HSTS的最大问题是教育,”Ristic表示,“人们需要了解到它的存在。”
目前支持HSTS的流行网站包括Paypal、Twitter和各种谷歌服务。Facebook正在为其网站部署始终开启的HTTPS,但仍然不支持HSTS。
本文转载自企业级IT信息服务平台-网界网-CNW.com.cn
原文地址:http://www.cnw.com.cn/news-international/htm2012/20121123_259083.shtml
本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306118;邮箱:aet@chinaaet.com。