Новое исследование компании Netcraft гласит, что 95% всех HTTPS-серверов в мире не используют механизм HSTS (HTTP Strict Transport Security) вообще, либо он настроен неправильно, из-за чего защищенный трафик открыт для самых разных атак.

Механизм HSTS сегодня поддерживается всеми популярным браузерами (Internet Explorer 11, Microsoft Edge, Firefox, Chrome, Safari и Opera). Он призван принудительно активировать защищенное соединение, с использованием протокола HTTPS, вместо HTTP. По сути, HSTS должен помочь администраторам сайтов предотвратить атаки типа man-in-the-middle, манипуляции с cookie и прочую вредоносную активность.

Однако специалисты Netcraft пишут, что HSTS по-прежнему остается большой проблемой. Только 5% из всех изученных ими HTTPS-серверов используют HSTS (и без ошибок в конфигурации). Интересно, что три года назад эксперты уже проводили аналогичный анализ, и с тех пор цифры практически не изменились. HSTS по назначению и без ошибок использует крайне малое количество администраторов, что, по мнению Netcraft, свидетельствует о том, что они либо все еще не знают о проблеме, либо им попросту все равно.

Исследователи, в числе прочего, описывают и простейший сценарий атаки (пытаясь объяснить, почему HSTS, это так важно): пользователю достаточно набрать в адресной строке браузера http://адрессайта. Хотя пользователи не так часто пишут http:// или https:// вручную, такое все же случается, а без поддержки HSTS, сайт действительно может открыться через HTTP, что может привести к самым печальным последствиям, и открыть возможности для ряда атак. Конечно, многие ресурсы используют автоматическую переадресацию с HTTP на HTTPS, но, по мнению аналитиков Netcraft, это только делает их потенциальным целями для man-in-the-middle атак.

Что особенно печально: по словам экспертов Netcraft, среди тех, кто неправильно использует механизм HSTS (или не использует его вовсе), немало банков и сайтов платежных систем.

А ведь для активации HSTS, достаточно просто прописать HTTP-хедер:

Strict-Transport-Security: max-age=31536000;

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    3 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии