2月17日訊息,微軟今天宣佈在IE瀏覽器中支援HTTP Strict Transport Security(HSTS),並且今後也將在win10斯巴達瀏覽器中對此進行支援。
HTTP Strict Transport Security,HTTP強制安全傳輸用來確保終端使用者只有在使用安全的HTTPS連線時才能與伺服器連線。在瀏覽器向伺服器傳送請求時,每接收一個標題就新增一個標誌,這樣HSTS就能確保接下來與網站的連線都經過一種廣泛使用的HTTPS協議的加密。由於之後的所有連線都要被加密,HSTS能保護使用者不受降級攻擊,也就是駭客將已加密的連線再轉換回純文字HTTP。由於傳輸過程已經加密,因此它可以防範中間人攻擊,降低資訊洩露的風險。
HSTS可以用來抵禦SSL剝離攻擊。SSL剝離攻擊是中間人攻擊的一種,由Moxie Marlinspike於2009年發明。他在當年的黑帽大會上發表的題為“New Tricks For Defeating SSL In Practice”的演講中將這種攻擊方式公開。SSL剝離的實施方法是阻止瀏覽器與伺服器建立HTTPS連線。它的前提是使用者很少直接在位址列輸入https://,使用者總是透過點選連結或3xx重定向,從HTTP頁面進入HTTPS頁面。所以攻擊者可以在使用者訪問HTTP頁面時替換所有https://開頭的連結為http://,達到阻止HTTPS的目的。
HSTS可以很大程度上解決SSL剝離攻擊,因為只要瀏覽器曾經與伺服器建立過一次安全連線,之後瀏覽器會強制使用HTTPS,即使連結被換成了HTTP。
另外,如果中間人使用自己的自簽名證書來進行攻擊,瀏覽器會給出警告,但是許多使用者會忽略警告。HSTS解決了這一問題,一旦伺服器傳送了HSTS欄位,使用者將不再允許忽略警告。(Source:Microsoft News)