ما هي HSTS وكيف تحمي HTTPS من المتسللين؟

الإعلانات

ربما تكون قد تأكدت من أن مواقع الويب الخاصة بك قد تم تمكين طبقة المقابس الآمنة لها ، وأن قفل الأمان الجميل في متصفحك أخضر. ومع ذلك ، ربما تكون قد نسيت رجل أمن HTTP الصغير ، HTTP Strict Transport Security (HSTS).

ما هو HSTS ، وكيف يمكن أن تساعد في الحفاظ على موقعك آمن؟

ما هو HTTPS؟

بروتوكول Hyper Text Transfer Protocol Secure (HTTPS) هو إصدار آمن لموقع ويب (HTTP). يتم تمكين التشفير باستخدام بروتوكول طبقة مآخذ التوصيل الآمنة (SSL) ويتم التحقق من صحته باستخدام شهادة SSL. عند الاتصال بموقع HTTPS على الويب ، يتم تشفير المعلومات المنقولة بين موقع الويب والمستخدم.

يساعد هذا التشفير على حمايتك من سرقة البيانات من خلال هجمات الرجل في الوسط (MITM). طبقة إضافية من الأمن يساعد أيضا قليلا تحسين سمعة موقع الويب الخاص بك إزالة الغموض من كبار المسئولين الاقتصاديين: 5 أدلة محرك البحث الأمثل التي تساعدك على البدءيأخذ إتقان محرك البحث المعرفة والخبرة والكثير من التجارب والخطأ. يمكنك البدء في تعلم الأساسيات وتجنب أخطاء SEO الشائعة بسهولة بمساعدة العديد من أدلة SEO المتوفرة على الويب. اقرأ أكثر . في الواقع ، تعد إضافة شهادة طبقة المقابس الآمنة أمرًا سهلاً للغاية ، بحيث أن العديد من مضيفات الويب ستضيفها إلى موقعك افتراضيًا مجانًا! ومع ذلك ، لا يزال لدى HTTPS بعض العيوب التي يمكن أن تساعد HSTS في إصلاحها.

ما هو HSTS؟

HSTS عبارة عن رأس استجابة يقوم بإعلام المستعرض الذي يمكن تمكين الوصول إلى مواقع الويب فقط عبر HTTPS. هذا يفرض على متصفحك فقط القدرة على الوصول إلى نسخة HTTPS من الموقع وأي موارد عليه.

قد لا تدرك أنه على الرغم من قيامك بإعداد شهادة SSL الخاصة بك بشكل صحيح وتمكين HTTPS لموقع الويب الخاص بك ، إلا أن إصدار HTTP لا يزال متاحًا. هذا صحيح حتى إذا قمت بإعداد إعادة التوجيه باستخدام 301 إعادة توجيه دائمة.

على الرغم من أن سياسة HSTS موجودة منذ فترة وجيزة ، إلا أنها لم توزع رسميًا إلا من قِبل Google في يوليو 2016. قد يكون هذا هو السبب في أنك لم تسمع به بعد.

تمكين HSTS سيوقف هجمات بروتوكول SSL و اختطاف ملفات تعريف الارتباط ، ما هو ملف تعريف الارتباط وما علاقة ذلك بخصوصية بلدي؟ [يشرح MakeUseOf]يعرف معظم الناس أن هناك ملفات تعريف ارتباط منتشرة في جميع أنحاء الإنترنت ، جاهزة وجاهزة للأكل من قبل من يمكنه العثور عليها أولاً. انتظر ماذا؟ لا يمكن أن يكون ذلك صحيحًا. نعم ، هناك ملفات تعريف الارتباط ... اقرأ أكثر اثنين من نقاط الضعف الإضافية في المواقع تمكين SSL. بالإضافة إلى جعل موقع الويب أكثر أمانًا ، ستجعل HSTS تحميل المواقع أسرع من خلال إزالة خطوة في إجراء التحميل.

ما هو SSL تجريد؟

على الرغم من أن HTTPS يمثل تحسناً هائلاً من HTTP ، إلا أنه لا يمكن اختراقه. يعد تجريد طبقة المقابس الآمنة من اختراقات MITM الشائعة لمواقع الويب التي تستخدم إعادة التوجيه لإرسال المستخدمين من HTTP إلى إصدار HTTPS من موقع الويب الخاص بهم.

301 (دائم) و 302 (مؤقت) إعادة توجيه يعمل أساسا مثل هذا:

1. وهناك أنواع المستخدم google.com في شريط عنوان المتصفح.
2. المتصفح في البداية يحاول تحميل http://google.com كما الافتراضي.
3. تم إعداد "Google.com" من خلال 301 إعادة توجيه دائمة إلى https://google.com.
4. يرى المتصفح إعادة التوجيه والأحمال https://google.com في حين أن.

مع تجريد طبقة المقابس الآمنة ، يمكن للمتسلل استخدام الوقت بين الخطوة 3 والخطوة 4 لمنع طلب إعادة التوجيه وإيقاف المتصفح من تحميل الإصدار الآمن (HTTPS) من موقع الويب. نظرًا لأنك تقوم بالوصول إلى إصدار غير مشفر من موقع الويب ، يمكن سرقة أي بيانات تدخلها.

يمكن للمتسلل أيضًا إعادة توجيهك إلى نسخة من موقع الويب الذي تحاول الوصول إليه ، والتقاط جميع بياناتك عند إدخالها ، حتى لو كانت آمنة.

نفذت Google خطوات في Chrome لإيقاف بعض أنواع إعادة التوجيه. ومع ذلك ، يجب أن يكون تمكين HSTS شيء تفعله افتراضيًا لجميع مواقع الويب الخاصة بك من الآن فصاعدًا.

كيف تمكين HSTS إيقاف SSL تجريد؟

إن تمكين HSTS يفرض على المتصفح تحميل الإصدار الآمن من موقع ويب ، ويتجاهل أي إعادة توجيه وأي مكالمة أخرى لفتح اتصال HTTP. يؤدي هذا إلى إغلاق ثغرة إعادة التوجيه الموجودة مع إعادة توجيه 301 و 302.

هناك جانب سلبي حتى بالنسبة لـ HSTS ، وهو أن متصفح المستخدم يجب أن يرى رأس HSTS مرة واحدة على الأقل قبل أن يتمكن من الاستفادة منه للزيارات المستقبلية. هذا يعني أنه سيتعين عليهم متابعة عملية HTTP> HTTPS مرة واحدة على الأقل ، مما يجعلهم عرضة للمخاطر عند زيارتهم لأحد مواقع الويب التي تدعم HSTS.

لمكافحة ذلك ، يقوم Chrome مسبقًا بتحميل قائمة بمواقع الويب التي تم تمكين HSTS. يمكن للمستخدمين إرسال مواقع الويب التي تدعم HSTS إلى قائمة التحميل المسبق أنفسهم إذا كانت تناسب المعايير (بسيطة) المطلوبة.

سيتم تشفير مواقع الويب المضافة إلى هذه القائمة في الإصدارات المستقبلية من تحديثات Chrome. تتأكد من أن كل من يزور مواقع الويب التي تدعم HSTS في إصدارات محدثة من Chrome سيظل آمنًا.

لدى Firefox و Opera و Safari و Internet Explorer قائمة التحميل المسبق الخاصة بـ HSTS ، ولكنها تستند إلى قائمة Chrome على hstspreload.org.

كيفية تمكين HSTS على موقع الويب الخاص بك

لتمكين HSTS على موقع الويب الخاص بك ، يجب أولاً أن يكون لديك صلاحية شهادة SSL 7 أسباب يحتاج موقعك إلى شهادة SSLلا يهم إذا كنت تقوم بتطوير مدونة متواضعة أو موقع تجارة إلكترونية كامل: أنت بحاجة إلى شهادة طبقة المقابس الآمنة. وهنا بعض الأسباب العملية لماذا. اقرأ أكثر . إذا قمت بتمكين HSTS بدون واحدة ، فلن يكون موقعك متاحًا لأي زائر ، لذا تأكد من أن موقع الويب الخاص بك وأي نطاقات فرعية تعمل على HTTPS قبل المتابعة.

تمكين HSTS سهل للغاية. تحتاج ببساطة إلى إضافة رأس إلى ملف htaccess على موقعك. العنوان الذي تحتاج إلى إضافته هو:

أمان صارم - النقل: الحد الأقصى للعمر = 31536000 ؛ includeSubDomains

هذا يضيف ملف تعريف ارتباط وصول أقصى عمر لمدة عام (ما هو ملف تعريف الارتباط؟ ملفات تعريف الارتباط ليست كلها سيئة: 6 أسباب لتركها ممكنة على متصفحكهل ملفات تعريف الارتباط حقًا سيئة للغاية؟ هل يعرضون أمانك وخصوصيتك للخطر أم أن هناك أسبابًا جيدة لتمكين ملفات تعريف الارتباط؟ اقرأ أكثر ) ، والذي يتضمن موقع الويب الخاص بك ، وأي نطاقات فرعية. بمجرد أن يصل المستعرض إلى موقع الويب ، لن يكون قادرًا على الوصول إلى إصدار HTTP غير الآمن من موقع الويب لمدة عام. تأكد من أن جميع النطاقات الفرعية على هذا النطاق مضمنة في شهادة SSL ، وأن HTTPS ممكّن. إذا نسيت هذا ، فلن يمكن الوصول إلى النطاقات الفرعية بعد حفظ ملف htaccess.

المواقع التي تفتقد includeSubDomains يمكن أن يعرض الخيار للزائرين تسربات الخصوصية عن طريق السماح للنطاقات الفرعية بمعالجة ملفات تعريف الارتباط. مع includeSubDomains ممكّنة ، لن تكون هذه الهجمات المرتبطة بملفات تعريف الارتباط ممكنة.

ملحوظة: قبل إضافة الحد الأقصى للعمر لمدة عام واحد ، اختبر موقع الويب بالكامل مع الحد الأقصى لمدة خمس دقائق أولاً باستخدام: الحد الأقصى للسن = 300 ؛

توصي Google حتى باختبار موقع الويب الخاص بك وأدائه (حركة المرور) مع أسبوع واحد ، وقيمة شهر واحد أيضًا قبل تطبيق الحد الأقصى لمدة عامين.

خمس دقائق: النقل الصارم والأمن: الحد الأقصى للعمر = 300 ؛ includeSubDomains. أسبوع واحد: النقل الدقيق للأمن: أقصى عمر = 604800 ؛ includeSubDomains. شهر واحد: النقل الصارم والأمن: الحد الأقصى للعمر = 2592000 ؛ includeSubDomains

جعل قائمة التحميل المسبق HSTS

الآن يجب أن تكون على دراية بـ HSTS ولماذا من المهم أن يستخدمه موقعك. يجب أن يكون الحفاظ على أمان زوار موقعك على الإنترنت عنصرا أساسيا في خطة موقعك.

ليكون مؤهلاً لقائمة التحميل المسبق لـ HSTS التي يستخدمها Chrome والمتصفحات الأخرى ، يجب أن يفي موقع الويب الخاص بك بالمتطلبات التالية:

1. خدمة شهادة SSL صالحة.
2. قم بإعادة التوجيه من HTTP إلى HTTPS على نفس المضيف ، إذا كنت تستمع إلى المنفذ 80.
3. خدمة جميع المجالات الفرعية على HTTPS. على وجه الخصوص ، يجب أن تدعم HTTPS ل www.subdomain في حالة وجود سجل DNS لهذا النطاق الفرعي.
4. خدمة رأس HSTS على المجال الأساسي لطلبات HTTPS:
   • يجب ألا يقل العمر الأقصى عن 31536000 ثانية (عام واحد).
   • يجب تحديد التوجيه includeSubDomains.
   • يجب تحديد توجيه التحميل المسبق.
   • إذا كنت تقدم عملية إعادة توجيه إضافية من موقع HTTPS ، فلا يزال يجب أن يكون لإعادة التوجيه رأس HSTS (بدلاً من الصفحة التي يعيد توجيهها إليها).

إذا كنت ترغب في إضافة موقع الويب الخاص بك إلى قائمة التحميل المسبق HSTS ، فتأكد من إضافة ما هو مطلوب التحميل المسبق بطاقة شعار. يشير خيار "التحميل المسبق" إلى أنك تريد إضافة موقع الويب الخاص بك إلى قائمة التحميل المسبق لـ HSTS في Chrome. يجب أن يظهر رأس الاستجابة في .htaccess بالشكل التالي:

الأمان الصارم: الحد الأقصى للعمر = 63072000 ؛ includeSubDomains ؛ التحميل المسبق

نوصيك بإضافة موقع الويب الخاص بك إلى hstspreload.org. من السهل جدا تلبية المتطلبات ، وسيساعد ذلك في حماية زوار موقع الويب الخاص بك ، ويحتمل أن يكون ذلك تحسين تصنيف محرك البحث لموقعك كيف عمل محركات البحث؟لكثير من الناس ، جوجل هو الإنترنت. إنه بالتأكيد أهم اختراع منذ الإنترنت نفسه. وعلى الرغم من تغير محركات البحث كثيرًا منذ ذلك الحين ، إلا أن المبادئ الأساسية لا تزال كما هي. اقرأ أكثر .