هل لديك HTTPS قيد التشغيل على خادم الويب الخاص بك؟ إذا كنت قد خاطبت بالفعل ، فهذا أمر غير عادي. مع ذلك ، هل تم تنفيذ أمن النقل الصارم (HSTS) لـ HTTPS؟ أعتقد أن إجابتك لا ... أيضًا ، إذا كان هذا صحيحًا ، فقد أرغب في الكشف لك عن أنه ليس ذكيًا. لماذا ا؟ سنحاول فهم هذا في هذه المقالة:
المشكلة مع HTTP
في حين أن HTTP عبارة عن اتفاقية رائعة كانت مفيدة في بدء مشروع شبكة الويب العالمية ، إلا أن لها بعض العيوب التي تبني عليها قرارًا رهيبًا بشأن المراسلات السرية. يتم نقل المعلومات التي يتم إرسالها باستخدام اقتران HTTP بدون ضمانات ، مما يعني أنه إذا كان بإمكان أي شخص الاستماع إلى طرود المعلومات الخاصة بك ، يمكنك رؤية المادة التي تمر عبر ارتباط HTTP الخاص بك (تُعرف هذه الاعتداءات باسم الرجل اعتداءات داخل المركز). عند إدارة المعلومات الآمنة ، (على سبيل المثال ، أسماء المستخدمين ، وكلمات المرور ، والبيانات المالية ، وما إلى ذلك.) ، يمكن أن يتحول هذا إلى مشكلة كبيرة حيث قد يكون تسرب هذه المعلومات مسرفًا.
الترتيب: HTTPS
يتم إعطاء هذا لتحسين HTTP Secure أو HTTPS. بشكل أساسي هذه الاتفاقية هي HTTP ، لتقرير التمييز في أنها ترميز المعلومات التي يتم نقلها بينك وبين الخادم الخاص بك. لذلك عندما ترسل بعض المعلومات إلى موقع مرتبط بجمعية HTTPS ، لا يمكن لأي شخص رؤيتها بصرف النظر عنك والموقع الذي أرسلته إليه. مع ذلك ، تبقى القضايا.
مع ذلك ، لا تزال هناك مشكلة
كل شيء يبدو على ما يرام. كن على هذا النحو ، هناك عتاب صغير. يمكن استخدام هذا التحذير الصغير من قبل المبرمجين لتجنب تشفير HTTPS وإثارة البرنامج في حركة مرور HTTP غير المنضمة نتيجة لذلك. تُعرف هذه الاعتداءات باسم التقليد التقليل من الاعتداءات ، ومعها ، يمكن للمهاجم أن يجعلك بعيدًا عن استخدام HTTPS لموقع معين.
كن على هذا النحو ، كيف يمكن أن يكون ذلك؟
تصبح اعتداءات المصب متوقعة بسبب الانهيار في خطة HTTP و HTTPS. في الواقع ، عندما تقوم بإدخال عنوان موقع في برنامجك أو تقطع اتصالًا ، يحاول برنامجك الارتباط بهذا الموقع من خلال HTTP. في الوقت الحاضر ، إذا كان هذا الموقع يستخدم HTTPS ، فإن خادمه ينصح برنامجك بالتفاعل معه عن طريق HTTPS لأنه كذلك.
عند هذه النقطة بالضبط ، سيستمر برنامجك في نقل HTTPS الآمن. مع ذلك ، تم إرسال الطلب الأساسي في هذا الإجراء بالكامل عبر HTTP ... والأكثر من ذلك ، هنا يمكن للمجرم الرقمي أن يلعب دوره.
يستطيع المجرم الإلكتروني محاكاة خادم الويب لصفحة الويب هذه ، وبعد ذلك في الالتماس الأساسي (الذي يتم إرساله عبر HTTP) نفسه ، يمكنه أن يمنح العميل صفحة موقع دقيقة للصفحة الأولى على الخادم الخاص بك ، ولكن سيتم إرسال اسم المستخدم والكلمة السرية له المرور اعتبارا من ذلك. يمكن للمعتدي بعد ذلك الحصول على هذه التقنية مرارًا وتكرارًا ... تطبيق استخدام العميل لـ HTTPS للتحدث مع موقعك.
الترتيب: أمن HTTP الصارم (HSTS)
الإجابة لهذه المشكلة من تقليص حجم الاعتداءات هي سياسة أمن النقل الصارمة HTTP. ما يفعله هذا الترتيب هو نصح متصفحات الإنترنت بالارتباط بموقعك عبر HTTPS فقط وعدم استخدام HTTP. في أعقاب نقل هذه الرسالة ، يتذكر البرنامج أنه لا ينبغي ربط موقعك من خلال HTTP ، ويبدأ في تقديم الطلبات المستقبلية لموقعك من HTTPS نفسه.
علاوة على ذلك ، ترافق جميع البرامج المعروفة أيضًا منشورات HSTS الخاصة بها والمكدسة مسبقًا والتي تشير إليها وتتحقق مما إذا كان الموقع يستخدم HSTS أم لا. هذا يجعل تقليص حجم الاعتداءات مزعجًا بشكل تدريجي.
كيف ينجز عمل HSTS
يتم تعزيز إستراتيجية HSTS عن طريق إضافة الحقل المصاحب إلى رأس تفاعل HTTPS:
تنفيذ أمن النقل: الحد الأقصى للعمر = expireTime [؛ includeSubdomains]
يتم نقل هذا الحقل للتو إلى البرنامج الذي يحتاج إلى الوصول إلى الخادم الخاص بك عن طريق HTTPS. ال
يتجاوز تقدير وقت انتهاء البرنامج الفترة الزمنية التي يجب أن يتم الوصول إليها من خلال HTTPS ، ومع تضمين تقدير المجالات الفرعية ، يمكنك تطبيق نهج مماثل لنطاقاتك الفرعية المثالية دون تأخير لحظة.
يمكنك الاستفادة من موقعك مع متصفحات الإنترنت المعروفة باستخدام استراتيجية HSTS لفترة طويلة ، كما يمكن لصانعي البرامج أيضًا تذكر صفحة الويب الخاصة بك لقائمة الوجهات رقم.
النهاية
HSTS هو ترتيب مذهل يجب عليك تحقيقه على خادم الويب الخاص بك لأنه أكثر أمانًا بشكل عام. إنه مهم بشكل خاص إذا كان موقعك يتطلب نقل معلومات العميل الدقيقة. افعل ذلك اليوم لتوفير الأمان المثالي لضيوفك.