JoWa Postad November 23, 2012 Dela Postad November 23, 2012 (redigerade) HTTP Strict Transport Security (HSTS) har av Internet Engineering Task Force (IETF) antagits som standarden RFC 6797, efter att ha varit ett utkast sedan 17 juni 2010. Standarden antogs den 2 oktober 2012, och publicerades den 19 november.HSTS gör följande: Tvingar krypterad anslutning (TLS eller SSL) till en server. Blockerar osäkert (okrypterat) innehåll vid en för övrigt krypterad anslutning, utan möjlighet för användaren att tillåta det osäkra innehållet. Blockerar anslutning till servrar med certifikatfel, utan möjlighet för användaren att ignorera varningen och fortsätta. En begränsning är att webbläsaren inte vet att servern tillämpar HSTS för den aktuella domänen vid första anslutningen. Detta kan avhjälpas med en HSTS-lista som webbläsaren har tillgång till, och som försäkrar att krypterad anslutning används redan vid första anslutningen. En sådan lista underhålls av Google (”The Chromium Authors”), och används i både Chrome/Chromium och Firefox (17 och senare). Listan finns här. Användaren kan själv lägga till domäner, men inte ta bort eller ändra de domäner som Google har lagt till.HSTS stöds för närvarande av Chromium, Firefox och Opera.IETF: RFC 6797Wikipedia: HTTP Strict Transport SecurityAdam Langley: Living with HTTPS Redigerad Juni 23, 2013 av JoWa Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
JoWa Postad November 23, 2012 Författare Dela Postad November 23, 2012 En video som förklarar HSTS: Där talas bl.a. om sidor där krypterad anslutning används vid inloggning, men där okrypterad anslutning används så snart inloggning genomförts, och vilka risker det för med sig. Exempel på detta är Yahoo! Mail. Citera Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
Recommended Posts
Delta i dialogen
Du kan skriva svaret nu och registrera dig senare, Om du har ett konto, logga in nu för att svara på inlägget.