В ближайшее время стандарт HTTP Strict Transport Security (HSTS) будет поддерживаться браузерами Firefox и Google Chrome.
Эта спецификация обеспечивает абсолютно гарантированный способ коммуникации клиента с сервером только через защищённый протокол.
В настоящее время, пока данный стандарт не поддерживается, при соединении с сервером по умолчанию устанавливается соединение HTTP, и только потом браузер переключается на HTTPS, если есть такая возможность. Подобный механизм оставляет возможность для атаки типа man-in-the-middle. В свою очередь, протокол HSTS призван закрыть данную уязвимость. При поддержке HSTS создатели сайта могут поставить на сервере следующую команду
Параметр max-age устанавливает время в секундах, сколько использовать принудительно сессию HTTPS.
И тогда все запросы по HTTP будут принудительно перенаправлены на HTTPS.
Разработчики Firefox объявили, что его поддержку внедрят в ближайшей версии.
Эта спецификация обеспечивает абсолютно гарантированный способ коммуникации клиента с сервером только через защищённый протокол.
В настоящее время, пока данный стандарт не поддерживается, при соединении с сервером по умолчанию устанавливается соединение HTTP, и только потом браузер переключается на HTTPS, если есть такая возможность. Подобный механизм оставляет возможность для атаки типа man-in-the-middle. В свою очередь, протокол HSTS призван закрыть данную уязвимость. При поддержке HSTS создатели сайта могут поставить на сервере следующую команду
Strict-Transport-Security: max-age=15768000
Параметр max-age устанавливает время в секундах, сколько использовать принудительно сессию HTTPS.
И тогда все запросы по HTTP будут принудительно перенаправлены на HTTPS.
Разработчики Firefox объявили, что его поддержку внедрят в ближайшей версии.
