Przejdź do zawartości

HTTP Strict Transport Security

Z Wikipedii, wolnej encyklopedii
To jest stara wersja tej strony, edytowana przez MalarzBOT (dyskusja | edycje) o 09:09, 20 maj 2016. Może się ona znacząco różnić od aktualnej wersji.
Następująca wersja przejrzana tej strony, którą oznaczono 20 maj 2016, była oparta na tej wersji.

HTTP Strict Transport Security (HSTS) - mechanizm bezpieczeństwa sieci, który chroni strony przed atakami takimi, jak aktualizacja wsteczna protokołu oraz przechwytywanie sesji. Dzięki niemu do serwerów można połączyć się tylko za pomocą przeglądarek, korzystających z bezpiecznych połączeń HTTPS,[1], natomiast nigdy nie dopuszcza połączeń na bazie niezabezpieczonego protokołu HTTP. HSTS jest uznany jako standardowy protokół w IETF; został opisany w dokumencie RFC 6797.

O stosowaniu polityki HSTS[2] serwer informuje użytkownika za pomocą pola znajdującego się w nagłówku odpowiedzi HTTP o nazwie "Strict-Transport-Security". Polityka HSTS Policy określa czas, w którym użytkownik może być połączony z serwerem tylko poprzez bezpieczne połączenie.[3]</ref>

Historia specyfikacji

Specyfikację HSTS opublikowano jako RFC 6797 w dniu 19 listopada 2012 po tym, jak została zaaprobowana na proponowany standard RFC 2 października 2012 przez IESG.[4] Początkowo autorzy wydali ją 17 czerwca 2010. Nazwa specyfikacji została zmieniona ze "Strict Transport Security" (STS) na "HTTP Strict Transport Security", ponieważ odnisiła się ona tylko do protokołu HTTP.[5] The HTTP response header field defined in the HSTS specification however remains named "Strict-Transport-Security".

Ostatnia tzw. "społecznościowa wersja" specyfikacji, nazwanej później "STS", została opublikowana 18 grudnia 2009.[6]

Oryginalna specyfikacja, której autorami byli Jeff Hodges[7] z PayPal, Collin Jackson[8] oraz Adam Barth[9] została wydana 18 września 2009.[10]

Specyfikacja HSTS bazuje na oryginalnej pracy Jacksona i Barth'a opisanej nw artykule na ich stronie: “ForceHTTPS: Protecting High-Security Web Sites from Network Attacks”.[11]

Ponadto, HSTS jest realizacją aspektu całościowej wizji poprawy bezpieczeństwa internetowego, którą zaproponowali Jeff Hodges oraz Andy Steingruebl w artykule z 2010 roku The Need for Coherent Web Security Policy Framework(s).[12]

  1. HTTPS oznacza protokół HTTP, wykorzystujący szyfrowanie Transport Layer Security (TLS/SSL). Zabezpieczone w ten sposób połączenia HTTP są określane w standardzie URI jako "https", natomiast taką "kombinację" często określa się mianem "protokołu HTTPS".
  2. Jeff Hodges, Jackson, Collin, Barth, Adam: Section 5.2. HSTS Policy. [w:] RFC 6797 [on-line]. Listopad 2012. [dostęp 21 listopada 2012].
  3. Piotr Bratkowski: HSTS czyli HTTP Strict Transport Security. sierpień 2013. [dostęp 19 maja 2016].
  4. [websec Protocol Action: 'HTTP Strict Transport Security (HSTS)' to Proposed Standard (draft-ietf-websec-strict-transport-sec-14.txt)]. 2 Oct 2012. [dostęp 2 Oct 2012].
  5. Re: [HASMAT "STS" moniker (was: IETF BoF @IETF-78 Maastricht: HASMAT...)]. 30 June 2010. [dostęp 22 July 2010].
  6. Strict Transport Security -06. 18 grudnia 2009. [dostęp 23 grudnia 2009].
  7. Jeff Hodges's homepage. [dostęp 26 Aug 2011].
  8. Collin Jackson's homepage. [dostęp 8 Mar 2011].
  9. Adam Barth's homepage. [dostęp 8 Mar 2011].
  10. Strict Transport Security -05. 18 September 2009. [dostęp 19 November 2009].
  11. ForceHTTPS: Protecting High-Security Web Site from Network Attacks. April 2008. [dostęp 19 November 2009].
  12. Jeff Hodges, Steinguebl, Andy: The Need for Coherent Web Security Policy Framework(s). 29 October 2010. [dostęp 21 November 2012].
Źródło: „https://pl.wikipedia.org/w/index.php?title=HTTP_Strict_Transport_Security&oldid=45814241