设为首页收藏本站

安而遇随-随遇而安

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
安而遇随-随遇而安 首页 资讯 查看内容

Google宣布对其域名启用HSTS协议

2016-8-3 16:11| 发布者: 随便、先森。| 查看: 1344| 评论: 0|来自: FreeBuf

摘要: 上周五,Google安全团队宣布他们已经对其域名Google.com采用了HSTS。FreeBuf百科:什么是HSTS?HSTS代表HTTP Strict Transport Security,这是国际互联网工程组织IETE正在推行的一种Web安全协议。HSTS的作用是强制客 ...

上周五,Google安全团队宣布他们已经对其域名Google.com采用了HSTS。

FreeBuf百科:什么是HSTS?

HSTS代表HTTP Strict Transport Security,这是国际互联网工程组织IETE正在推行的一种Web安全协议。HSTS的作用是强制客户端(如浏览器)使用HTTPS与服务器创建连接,因此如果你访问的网站启用了HSTS,那么浏览器将会记住这一标记,确保未来每次访问该网站都会自动定向到HTTPS,不会在无意中访问不安全的HTTP。

HSTS这个协议还能保护用户的数据免受HTTPS降级攻击(跳转时直接降级为HTTP)、中间人攻击、SSL攻击和Cookie劫持。这一协议被认为是保护HTTPS连接免受SSL攻击最好的方法,但这一协议还没有被大多数浏览器支持。

95%的Https网站没有使用HSTS

去年三月份,Netcraft做了一项调查报告,报告显示当前百分之95的服务器运行的HTTPS没有正确地设置HSTS或是配置错误,以至于将HTTPS连接暴露于攻击风险之中。而针对这些不安全的站点最容易的攻击场景是 HTTPS 降级攻击,攻击者可以选择多种方式来迫使一个看起来安全的 HTTPS 连接根本不使用数据加密,以进行数据窃取。

为了支持HSTS机制,谷歌方面做了很多的工作,包括解决混合内容(HTTPS页面含有HTTP内容),损坏的HREFs(超文本引用),以及重定向到HTTP。除此之外,谷歌还需要对一些遗留的服务进行更新。由于谷歌的访问量很大,安全问题更是重中之重,所以支持HSTS对于谷歌来说十分必要。谷歌表示在传输中加密数据有助于保护用户及其数据安全。目前旗鱼浏览器等主流浏览器都支持HSTS机制,因此只要网站支持https,针对HTTP的漏洞就越来越难以发挥作用。

谷歌的技术产品经理Jay Brown表示:

我们对于实施HSTS是很激动的,在传输时加密数据可以保护用户数据的安全,我们会在未来几个月内将其扩展到更多的领域和谷歌产品当中。

*参考来源:softpedia,FB小编anyway5编译


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

  • 解决 Wn10无法连接 蓝牙耳
  • Python之Selenium知识总结
  • 2万字带你了解Selenium全攻
  • 解决网站网页不能复制,不
  • 我对ddos攻击的见解以及ufo
论坛精选
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程
NTP放大反射DDOS攻
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程 图上是国外测的 本文实测 能有二三
DDOS:NTP、SSDP、DNS、SNMP、RIP 放大反射攻击、扫描脚本
DDOS:NTP、SSDP、D
NTP、SSDP、DNS、SNMP、RIP 放大反射攻击扫描脚本 不懂的 请自行谷歌 声明:本文转
返回顶部