Το πρωτόκολλο ασφαλείας HSTS προτείνεται ως πρότυπο επικοινωνίας
Δημοσιεύθηκε από SecNews την Σάββατο Οκτ 6, 2012 στην Κατηγορία Network Security
Ο σκοπός που σχεδιάστηκε το Web πρωτόκολλο ασφαλείας, είναι για να προστατέψει τους χρήστες του διαδικτύου από παραβιάσεις. Εξαιτίας των μη κρυπτογραφημένων ιστοσελίδων έχει εγκριθεί ως ένα προτεινόμενο πρότυπο προστασίας.
Η ομάδα που είναι υπεύθυνη για το Internet Engineering Task Force (IETF), έδωσε τη συγκατάθεση της για την υιοθέτηση του HTTP Strict Transport Security (HSTS) από τα Web sites, <…>
μιας νέας πολιτικής επικοινωνίας ανάμεσα στα προγράμματα περιήγησης και τις τοποθεσίες του διαδικτύου. Για να επιτευχτεί μια πιο ασφαλής επικοινωνία τα προγράμματα περιήγησης (browsers) θα προτρέπονται από τις ιστοσελίδες (Web sites) να έχουν πάντα πρόσβαση σε αυτές μέσω ασφαλούς σύνδεσης (HSTS).
Τα προγράμματα περιήγησης που θα υιοθετήσουν αυτή την πολιτική, θα αλλάζουν αυτόματα ανασφαλείς συνδέσεις με ένα site σε μια ασφαλή σύνδεση χρησιμοποιώντας το “https”, χωρίς ο χρήστης του διαδικτύου να χρειάζεται να κάνει κάτι επιπλέον γιαυτό.
Το HSTS έχει σχεδιαστεί για να εμποδίσει την εισβολή στην επικοινωνία πρωτοκόλλου HTTP, όπου λόγο περιορισμένης κρυπτογράφησης που χρησιμοποιείται από πολλές Web τοποθεσίες δημοφιλείς ή μη, εκτίθενται σε κίνδυνο οι λογαριασμοί και τα δεδομένα των χρηστών από κάποιον που θα μπορούσε να παρέμβει και να παραβιάσει την επικοινωνία μεταξύ του υπολογιστή του χρήστη και του διακομιστή του site. Τα sites συνήθως κρυπτογραφούν το όνομα χρήστη και τον κωδικό πρόσβασης κατά τη διάρκεια τις επικοινωνίας, αλλά αν το σύνολο της επικοινωνίας δεν είναι κρυπτογραφημένη μέσω “https” ή secure hypertext transfer protocol, κάποιος που θα έψαχνε για τυχόν πληροφορίες στο δίκτυο θα μπορούσε να πιάσει τα cookies και να χρησιμοποιήσει τις πληροφορίες που υπάρχουν σε αυτά για να έχει πρόσβαση στους λογαριασμούς.
Τώρα αν η πρόταση γίνει από όλους αποδεκτή ως πρότυπο, εξαρτάται από τον βαθμό της τεχνικής ωριμότητας και αν υπάρχει μια γενική συναίνεση στο γεγονός ότι το πρωτόκολλο προσφέρει σημαντικά οφέλη στους χρήστες του διαδικτύου.
Η τεχνολογία ήδη υποστηρίζεται από τοποθεσίες και υπηρεσίες όπως το PayPal, Blogspot και Etsy. Επίσης, περιλαμβάνεται στα προγράμματα περιήγησης Chrome, Firefox 4 και Opera 12. Αυτό δεν ισχύει για τον Internet Explorer και τον Safari της Apple.