مکانزیم HSTS چیست و چگونه کار میکند؟
HSTS مکانیزم انتقال اطلاعات با امنیت بالا در سطح سیاست های وب web policy است که به حفظ اطلاعات منتقل شده در دنیای وب در برابر حملات شنود و جمع آوری اطلاعات و ربودن کوکی ها cookie hijacking کمک میکند.
این پروتکل اجازه میدهد تا وب سرورها از طریق شناسایی مرورگرها ( یا سایر agent های کاربر) تنها اجازه تبادل اطلاعات از طریق HTTPS داشته باشند و امکان ارتباط HTTP وجود نخواهد داشت. در حقیقت کاربران ملزم به استفاده از پروتکل HTTPS خواهند بود.
هنگامی که HSTS فعال میشود دو موضوع اتفاق می افتد:
– همیشه از https استفاده خواهد شد حتی اگر آدرس را بصورت http وارد کنید.
– حدف قابلیت انتخاب کاربر برای ورود به سایت هایی که گواهی SSL invalid دارند.
مهمترین آسیب پذیری که SSL-stripping man-in-the-middle نام دارد با استفاده از hsts قابل جلوگیری خواهد بود. این حمله در سال ۲۰۰۹ اتفاق افتاد (حتی برای TLS) که توسط آن درخواست اتصال https به اتصال http تبدیل میشد. استفاده این مکانیزم امکان قرار گیری هکرها در میان ارتباط شما با سایت مقصد و مشاهده اطلاعات و داده های رد و بدل شده را نخواهد داد.
این مکانیزم در حال حاضر توسط وب سایت های PayPal، Blogspot و Etsy مورد استفاده قرار گرفته است. همچنین فرایند مذکور در مرورگرهای کروم، فایرفاکس ۴ و اپرای ۱۲ مورد استفاده قرار گرفته است. با این وجود هنوز IE و اپل سفری به این رویه روی نیاورده اند.