HTTP Strict Transport Security

Następująca wersja przejrzana tej strony, którą oznaczono 19 maj 2016, była oparta na tej wersji.

HTTP Strict Transport Security (HSTS) - mechanizm bezpieczeństwa sieci, który chroni strony przed atakami takimi, jak aktualizacja wsteczna protokołu oraz przechwytywanie sesji. Dzięki niemu do serwerów można połączyć się tylko za pomocą przeglądarek, korzystających z bezpiecznych połączeń HTTPS,^[1], natomiast nigdy nie dopuszcza połączeń na bazie niezabezpieczonego protokołu HTTP. HSTS jest uznany jako standardowy protokół w IETF; został opisany w dokumencie RFC 6797.

O stosowaniu polityki HSTS^[2] serwer informuje użytkownika za pomocą pola znajdującego się w nagłówku odpowiedzi HTTP o nazwie "Strict-Transport-Security". Polityka HSTS Policy określa czas, w którym użytkownik może być połączony z serwerem tylko poprzez bezpieczne połączenie.^[3]</ref>

↑ HTTPS oznacza protokół HTTP, wykorzystujący szyfrowanie Transport Layer Security (TLS/SSL). Zabezpieczone w ten sposób połączenia HTTP są określane w standardzie URI jako "https", natomiast taką "kombinację" często określa się mianem "protokołu HTTPS".
↑ Jeff Hodges, Jackson, Collin, Barth, Adam: Section 5.2. HSTS Policy. [w:] RFC 6797 [on-line]. Listopad 2012. [dostęp 21 listopada 2012].
↑ Piotr Bratkowski: HSTS czyli HTTP Strict Transport Security. sierpień 2013. [dostęp 19 maja 2016].

[https-1] HTTPS oznacza protokół HTTP, wykorzystujący szyfrowanie Transport Layer Security (TLS/SSL). Zabezpieczone w ten sposób połączenia HTTP są określane w standardzie URI jako "https", natomiast taką "kombinację" często określa się mianem "protokołu HTTPS".

[hsts-policy-2] Jeff Hodges, Jackson, Collin, Barth, Adam: Section 5.2. HSTS Policy. [w:] RFC 6797 [on-line]. Listopad 2012. [dostęp 21 listopada 2012].

[3] Piotr Bratkowski: HSTS czyli HTTP Strict Transport Security. sierpień 2013. [dostęp 19 maja 2016].

[1]

[2]

[3]