آموزش امنیت وب

HSTS چیست و چگونه فعال می شود

HSTS چیست؟ HTTP Strict Transport Security یا HSTS یک قابلیت یا یک گام برای امنیت بیشتر سرور شما می باشد. این ویژگی مرورگر را مجبور می کند تا سایت شما فقط با HTTPS باز شود.

برای مثال شما اگر یک سایتی را به طور عادی باز کنید آن سایت در صورت باز بودن HSTS درخواست شما را به صورت زیر باز می کند.

این قابلیت برای این می باشد که اطلاعات که از سمت سرور به کاربر فرستاده می شود به صورت غیر امن نباشد و اطلاعات به صورت امن ارجاع داده شود.

چه مرورگر هایی HSTS پشتیبانی می کند؟

HSTS چیست و چگونه فعال می شود
HSTS چیست و چگونه فعال می شود

تمامی مرورگر های بروز و پیشرفته از این قابلیت استفاده می کنند، مرورگرهایی که این قابلیت را پشتیبانی نمی کنند در بالا مشخص شده اند.

اما هنگامی که HSTS فعال می شود دو مسئله اتفاق می افتد :

  • در تمامی شرایط از  قابلیت HTTPS استفاده خواهد شد
  • قابلیت انتخاب کاربر برای ورود به سایت هایی که گواهی SSL invalid دارند حذف می شود

مهمترین آسیب پذیری که SSL-stripping man-in-the-middle نام دارد با استفاده از HSTS قابل جلوگیری است، این حمله که در سال 2009 اتفاق افتاد درخواست اتصال HTTPS را به HTTP تبدیل می کرد.

این مطلب را از دست ندهید:  حملات CSRF یا جعل درخواست فرا وبگاهی

این مکانیزم توسط وب سایت های PayPal، Blogspot و Etsy مورد استفاده قرار گرفته است، همانطور در مرورگرهای بالا به طور کامل قابل مشاهده می باشد که چه مرورگر هایی از این مکانیزم استفاده می کنند.

نحوه فعال سازی HSTS

ابتدا وارد تنظیمات وب سرورتان شوید (Apache یا Nginx) خط زیر را به سرور خود اضافه نمایید و یک بار سرور خود را ریستارت کنید.

شما با وارد کردن کد بالا می توانید به راحتی HSTS را روی سرور خود راه اندازی کنید و از آن بهره ببرید. برای فعال سازی HSTS را از طریق فایل htaccess. قطعه کد زیر را داخل آن قرار دهید.

بعد از انجام این کار یک دسترسی max-age اضافه می شود که شامل وب سایت شما و تمامی زیر دامنه ها است. وقتی که مرورگر به وب سایت شما دسترسی پیدا می کند تا یک سال نمی تواند به نسخه HTTP  وب سای شما دسترسی داشته باشد.

آرین لاوی

آرین لاوی هستم؛ هم بنیانگذار " آقای امنیت " که حاصل تجربه های خودم در حوزه تخصصی امنیت وب و امنیت وردپرس را برایتان می نویسم و تلاش میکنم به شما کمک کنم تا وبسایت امنی داشته باشید.

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

بستن