专注:网络安全、系统安全、应用安全、数据库安全、运维安全,趋势分析。

安全从业者2000人超级群:187297569 沟通:1255197 技术:75140776 北京:107606822 西安:53210718 渗透:50806427 站长QQ:55984512


每日安全资讯:Google宣布对其域名启用HSTS协议

2016-08-04 01:17 推荐: 浏览: 11 views 评论 字号:

摘要: 文章目录[隐藏] 更多资讯 WPJAM TOC 上周五,Google安全团队宣布他们已经对其域名Google.com采用了HSTS。 什么是HSTS? HSTS代表HTTP Strict Transport Security,这是国际互联网工程...

文章目录[隐藏] WPJAM TOC

20160804

上周五,Google安全团队宣布他们已经对其域名Google.com采用了HSTS。

什么是HSTS?

HSTS代表HTTP Strict Transport Security,这是国际互联网工程组织IETE正在推行的一种Web安全协议。HSTS的作用是强制客户端(如浏览器)使用HTTPS与服务器创建连接,因此如果你访问的网站启用了HSTS,那么浏览器将会记住这一标记,确保未来每次访问该网站都会自动定向到HTTPS,不会在无意中访问不安全的HTTP。

HSTS这个协议还能保护用户的数据免受HTTPS降级攻击(跳转时直接降级为HTTP)、中间人攻击、SSL攻击和Cookie劫持。这一协议被认为是保护HTTPS连接免受SSL攻击最好的方法,但这一协议还没有被大多数浏览器支持。

95%的Https网站没有使用HSTS

去年三月份,Netcraft做了一项调查报告,报告显示当前百分之95的服务器运行的HTTPS没有正确地设置HSTS或是配置错误,以至于将HTTPS连接暴露于攻击风险之中。而针对这些不安全的站点最容易的攻击场景是 HTTPS 降级攻击,攻击者可以选择多种方式来迫使一个看起来安全的 HTTPS 连接根本不使用数据加密,以进行数据窃取。

为了支持HSTS机制,谷歌方面做了很多的工作,包括解决混合内容(HTTPS页面含有HTTP内容),损坏的HREFs(超文本引用),以及重定向到HTTP。除此之外,谷歌还需要对一些遗留的服务进行更新。由于谷歌的访问量很大,安全问题更是重中之重,所以支持HSTS对于谷歌来说十分必要。谷歌表示在传输中加密数据有助于保护用户及其数据安全。目前旗鱼浏览器等主流浏览器都支持HSTS机制,因此只要网站支持https,针对HTTP的漏洞就越来越难以发挥作用。

谷歌的技术产品经理Jay Brown表示:

我们对于实施HSTS是很激动的,在传输时加密数据可以保护用户数据的安全,我们会在未来几个月内将其扩展到更多的领域和谷歌产品当中。

来源:FreeBuf

更多资讯

  1. 信息泄露多可怕,看看这几个案例!
  1. 聚美优品用户信息遭泄露 消费者半个月被骗20万!
  1. 比特币价格因交易平台发现安全漏洞而下跌近20%
  1. 移动支付软件现漏洞 黑客利用 Siri 偷你的钱
  1. 升级Win10得交钱了 免费升级漏洞被微软发现了

(信息来源于网络,安华金和搜集整理)

联系站长租广告位!

中国首席信息安全官