JoWa Posted November 23, 2012 Share Posted November 23, 2012 (edited) HTTP Strict Transport Security (HSTS) har av Internet Engineering Task Force (IETF) antagits som standarden RFC 6797, efter att ha varit ett utkast sedan 17 juni 2010. Standarden antogs den 2 oktober 2012, och publicerades den 19 november.HSTS gör följande: Tvingar krypterad anslutning (TLS eller SSL) till en server. Blockerar osäkert (okrypterat) innehåll vid en för övrigt krypterad anslutning, utan möjlighet för användaren att tillåta det osäkra innehållet. Blockerar anslutning till servrar med certifikatfel, utan möjlighet för användaren att ignorera varningen och fortsätta. En begränsning är att webbläsaren inte vet att servern tillämpar HSTS för den aktuella domänen vid första anslutningen. Detta kan avhjälpas med en HSTS-lista som webbläsaren har tillgång till, och som försäkrar att krypterad anslutning används redan vid första anslutningen. En sådan lista underhålls av Google (”The Chromium Authors”), och används i både Chrome/Chromium och Firefox (17 och senare). Listan finns här. Användaren kan själv lägga till domäner, men inte ta bort eller ändra de domäner som Google har lagt till.HSTS stöds för närvarande av Chromium, Firefox och Opera.IETF: RFC 6797Wikipedia: HTTP Strict Transport SecurityAdam Langley: Living with HTTPS Edited June 23, 2013 by JoWa Quote Link to comment Share on other sites More sharing options...
JoWa Posted November 23, 2012 Author Share Posted November 23, 2012 En video som förklarar HSTS: Där talas bl.a. om sidor där krypterad anslutning används vid inloggning, men där okrypterad anslutning används så snart inloggning genomförts, och vilka risker det för med sig. Exempel på detta är Yahoo! Mail. Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.