Новое исследование компании Netcraft гласит, что 95% всех HTTPS-серверов в мире не используют механизм HSTS (HTTP Strict Transport Security) вообще, либо он настроен неправильно, из-за чего защищенный трафик открыт для самых разных атак.

Механизм HSTS сегодня поддерживается всеми популярным браузерами (Internet Explorer 11, Microsoft Edge, Firefox, Chrome, Safari и Opera). Он призван принудительно активировать защищенное соединение, с использованием протокола HTTPS, вместо HTTP. По сути, HSTS должен помочь администраторам сайтов предотвратить атаки типа man-in-the-middle, манипуляции с cookie и прочую вредоносную активность.

Однако специалисты Netcraft пишут, что HSTS по-прежнему остается большой проблемой. Только 5% из всех изученных ими HTTPS-серверов используют HSTS (и без ошибок в конфигурации). Интересно, что три года назад эксперты уже проводили аналогичный анализ, и с тех пор цифры практически не изменились. HSTS по назначению и без ошибок использует крайне малое количество администраторов, что, по мнению Netcraft, свидетельствует о том, что они либо все еще не знают о проблеме, либо им попросту все равно.

Исследователи, в числе прочего, описывают и простейший сценарий атаки (пытаясь объяснить, почему HSTS, это так важно): пользователю достаточно набрать в адресной строке браузера http://адрессайта. Хотя пользователи не так часто пишут http:// или https:// вручную, такое все же случается, а без поддержки HSTS, сайт действительно может открыться через HTTP, что может привести к самым печальным последствиям, и открыть возможности для ряда атак. Конечно, многие ресурсы используют автоматическую переадресацию с HTTP на HTTPS, но, по мнению аналитиков Netcraft, это только делает их потенциальным целями для man-in-the-middle атак.

Что особенно печально: по словам экспертов Netcraft, среди тех, кто неправильно использует механизм HSTS (или не использует его вовсе), немало банков и сайтов платежных систем.

А ведь для активации HSTS, достаточно просто прописать HTTP-хедер:

Strict-Transport-Security: max-age=31536000;



3 комментария

  1. Int

    22.03.2016 at 12:15

    В чём минус редиректа?

  2. petrozavodsky

    22.03.2016 at 12:58

    Наскидку, например если вы забукмаркали какую то критичную инфу которая сожержится в url то браузер предже чем поймет чем его редиректит попробует пойти но голому http и man in the middle сможет эту инфу украсть

  3. Offenso

    31.08.2016 at 22:41

    Не понимаю как http хедер может спасти от MiTM. Только в очень частном случае (описан ниже).
    DNS запись + DNSSEC — понимаю.

    Если я уже заходил на свой сайт, из безопасного места, то мой браузер запомнил, надо https.
    Он сразу туда зайдет. Если я прохожу по ссылке вида http, на неизвестный мне сайт — попадаю на MiTM.

Оставить мнение