Întrebări Frecvente

Urmăreşte Hostico şi răsfoieşte printre cele 305 răspunsuri la întrebări frecvente.

 
 
 

Ce este HSTS și cum se poate activa ?

Vizualizari
54
 

HSTS (HTTP Strict Transport Security) este un mecanism de securitate web care ajută la protejarea site-urilor împotriva atacurilor de tip "downgrade protocol" și "cookie hijacking". Prin utilizarea HSTS serverul web declară browser-erelor web că pe site-urile unde acest mecanism este activat conexiunea trebuie să aibă loc doar prin HTTPS și niciodată prin HTTP, cererile făcute prin HTTP fiind ignorate. Deoarece la prima conectare a unui client web către un site acesta nu știe încă dacă conexiunea va avea loc prin HTTP sau HTTPS și așteaptă instrucțiuni din partea serverului web există încă posibilitatea unei interceptări a comunicațiilor. Pentru a elimina și acest risc , după activarea HSTS domeniul poate fi inclus în lista de "pre-încărcare" web . Astfel numele domeniului va fi introdus în browser-ul web ca funcționând doar pe HTTPS . Atenție însă , după introducere site-ul nu va mai funcționa pe HTTP ci doar pe HTTPS.

Mai multe detalii privind listele de "pre-încărcare" și adăugarea respectiv înlăturarea unui domeniu din aceste liste pot fi citite accesând : https://hstspreload.org/

Exemplu de implementare HSTS în fișierul .htaccess al serverului web Apache :

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

 

pixel