HSTS – dodałeś już swoją domenę do listy?

Bezpieczeństwo każdego użytkownika komputera i Internetu w dużej mierze uzależnione jest od jego wiedzy i świadomości – programy i systemy zabezpieczające są zawsze bowiem tak mocne, jak ich najsłabsze ogniwo, a najsłabszym ogniwem nadal pozostaje człowiek. Ostatecznie na nic zdadzą się najbardziej wymyślne firewalle, jeśli użytkownik z uprawnieniami administracyjnymi wyrazi zgodę na instalację złośliwego oprogramowania nieświadomy konsekwencji swoich działań. Warto więc jako dostawca usług internetowych czy twórca i właściciel strony internetowej zastosować takie rozwiązania, które poniekąd wymuszają na Internautach najbardziej optymalne pod względem bezpieczeństwa zachowanie.

website

Nowoczesne rozwiązanie e-bezpieczeństwa

Takim rozwiązaniem jest HSTS, czyli HTTP Strict Transport Security, który wymusza na przeglądarce użytkownika skorzystanie z zabezpieczonego protokołu https:// nawet wtedy, kiedy użytkownik świadomie lub nieświadomie poprzedził adres internetowy wyłącznie http://. Ta teoretycznie niewielka zmiana w adresie w najmniejszym stopniu nie przekłada się na wygląd czy funkcjonalność danej strony, ale w kolosalnym stopniu podnosi bezpieczeństwo wszystkich akcji, jakie na takiej zabezpieczonej domenie podejmie użytkownik.

Witryny obecne na liście domen HSTS mogą być godne zaufania nie tylko z tego względu, ale również z uwagi na inne mechanizmy bezpieczeństwa przypisane do tej metody, takie jak:

  • możliwość otwartego zgłaszania domen do listy HSTS preload list, z której korzysta nie tylko przeglądarka Google, ale również wszystkie inne liczące się komercyjnie przeglądarki internetowe jak Firefox, Opera, Safari i Internet Explorer – równa się także możliwości ogólnodostępnej kontroli i weryfikacji umieszczanych tam zgłoszeń;
  • wymuszenie na właścicielach i administratorach stron zgłaszanych do listy HSTS preload posiadania aktualnych sprawdzonych certyfikatów bezpieczeństw SSL – witryny i domeny bez certyfikatów SSL nie mogą znaleźć się w gronie tych domen;
  • automatyczne łączenie Internauty każdorazowo z szyfrowanym protokołem https:// nawet w sytuacji, kiedy adres został przez przeglądarkę automatycznie zamieniony na http://;
  • konieczność realizowania wszystkich aktualizacji bezpieczeństwa i certyfikatów wymaganych dla podtrzymania swojej obecności na HSTS preload list.

Bezpieczne połączenia sieciowe

Kluczem do bezpieczeństwa każdego Internauty robiącego zakupy w sieci, podającego swoje wrażliwe dane osobowe czy logującego się do swojego banku albo poczty elektronicznej, jest korzystanie wyłącznie z zabezpieczonych połączeń i witryn. W dużej mierze udało się już zbudować świadomość Internautów, jak ważne są certyfikaty SSL i pojawienie się popularnego symbolu kłódki w pasku adresu w przeglądarce internetowej ma upewniać użytkownika, że znalazł się na stronie oznaczonej odpowiednim certyfikatem bezpieczeństwa. Dzisiaj należy jednak iść o krok dalej, ponieważ certyfikaty SSL umieścić można także na stronach od samego początku budowanych w celu np. wyłudzenia informacji.

Comments

comments