Pull to refresh

Все на https, безопасно и дешево

Reading time 2 min
Views 24K

Краткое введение


В наши дни все понимают насколько простой задачей является угон незащищенной http сессии.
И останавливать от повсеместного внедрения может только цена на покупку сертификата, www.startssl.com решает эту проблему, раздавая бесплатные сертификаты (Class 1). Verified (Class 2) стоят копейки.

Редирект


Когда сертификат куплен и программное обеспечение настроено, становится очевидна необходимость редиректа пользователя с http:// мойсайт.ру на https:// мойсайт.ру.

Подобный редирект создает небольшую дыру в безопасности, атака может быть совершена до редиректа. Поэтому необходимо использовать атрибут 'Secure', который говорит браузеру что куки могут быть отправлены только через https и желательно избежать редиректа указав ссылки с https и используя следующие техники:

Спецификация HTTP/1.1 говорит что http responsе коды 301 («moved permanently») и 302 («found»/«moved temporarily») могут быть закешированы браузером.

Поэтому использование заголовков Expires или Cache-Control max-age с большими сроками сделает редиректы более безопасными. Очевидной проблемой является отсутствие уважения к спецификациям со стороны разработчиков некоторых браузеров.

Вторым вариантом является использование заголовка Strict-Transport-Security.
Посредством этого заголовка Вы информируете браузер о том что вебсайт будет доступен только через https. http запросы будут переписаны на стороне клиента браузером.

Strict-Transport-Security: max-age=31556926;
Говорит браузеру, который поддерживает черновой стандарт что 1 год сайт доступен только через https. (Firefox и Chrome уже поддерживают, Opera ожидает переход его статуса в agreed или established).

Не смешивайте контент


Вам необходимо убедится что Вы не загружаете контент с http сайтов. Часто люди забывают что они загружают библиотеки из CDN или не переключают Google аналитику в https режим.

Дополнительная информация


Подробная статья о получении сертификатов на startssl habrahabr.ru/post/127643
en.wikipedia.org/wiki/HTTP_Strict_Transport_Security
en.wikipedia.org/wiki/List_of_HTTP_status_codes
en.wikipedia.org/wiki/HTTP_cookie#Secure_cookie
Пример крупной платформы использующей startssl cartenergy.ru (создают интернет-магазины)
Tags:
Hubs:
+66
Comments 52
Comments Comments 52

Articles