Sysop: + Dnes bylo kolektivně rozhodnuto, že Multimediaexpo.cz bude mít v budoucnosti technologii HSTS...přesný termín ale nebyl stanoven.

2017-10-23T14:11:48Z

+ Dnes bylo kolektivně rozhodnuto, že Multimediaexpo.cz bude mít v budoucnosti technologii HSTS...přesný termín ale nebyl stanoven.

Nová stránka

'''HTTP Strict Transport Security''' ('''HSTS''') je v [[Informatika|informatice]] bezpečnostní mechanismus, který chrání síťovou komunikaci mezi [[Webový prohlížeč|webovým prohlížečem]] a [[Webový server|webovým serverem]] před [[downgrade útok]]y a zjednodušuje ochranu proti [[Únos spojení|únosu spojení]] (tzv. ''cookie hijacking''). Mechanismus umožňuje, aby webový server vynutil v prohlížeči komunikaci pouze pomocí šifrovaného [[HTTPS]] připojení a vyloučil tím přenos dat nezabezpečeným [[Hypertext Transfer Protocol|HTTP protokolem]]. HSTS definuje RFC 6797. Webový server aktivuje HSTS pomocí HTTP hlavičky <code>Strict-Transport-Security</code>,<ref name="hsts-policy">{{cite web
| url = https://tools.ietf.org/html/rfc6797#section-5.2
| title = Section 5.2. HSTS Policy
| work = RFC 6797
| publisher = IETF
| last = Hodges
| first = Jeff
| coauthors = Jackson, Collin; Barth, Adam
| date = Nov 2012
| accessdate = 21 Nov 2012
}}</ref> která svou hodnotou definuje časový úsek, po který může prohlížeč zabezpečeně přistupovat k serveru.

== Historie ==
Specifikace HSTS byla schválena 2. října 2012 a následně publikována 19. listopadu 2012 jako RFC 6797. Původně autoři odeslali návrh jako [[Internet-Draft]] 17. června 2010. V rámci diskuze nad návrhem bylo jméno změněno ze „Strict Transport Security“ (STS) na „HTTP Strict Transport Security“ (HSTS). Důvodem pro změnu bylo, že jde o specifickou záležitost HTTP protokolu<ref>{{cite web
| url = http://www.ietf.org/mail-archive/web/hasmat/current/msg00025.html
| author = Jeff Hodges
| title = Re: [HASMAT] "STS" moniker (was: IETF BoF @IETF-78 Maastricht: HASMAT...)
| date = 30 June 2010
| accessdate = 22 July 2010
}}</ref> (název v HTTP hlavičce zůstal <code>Strict-Transport-Security</code>).

== HSTS mechanismus ==
Server implementuje HSTS politiku tím, že odesílá hlavičku přes HTTPS připojení (HSTS hlavičky odeslané pomocí HTTP jsou ignorovány).<ref>https://developer.mozilla.org/en-US/docs/Security/HTTP_Strict_Transport_Security</ref> Server může například odeslat hlavičku, která určí, že všechny budoucí dotazy na danou doménu používaly jen HTTPS připojení po dobu jednoho roku: ''Strict-Transport-Security: max-age=31536000; includeSubDomains; preload''.

Pokud webová aplikace<ref name="webapp">{{cite web
| url = http://webtrends.about.com/od/webapplications/a/web_application.htm
| title = Web Applications: What is a Web Application?
| publisher = About.com
| last = Nations
| first = Daniel
| accessdate = 21 Nov 2012
}}</ref> poskytne HSTS politiku user agentovi, agent se chová následovně:<ref name="hsts-mech">{{cite web
| url = https://tools.ietf.org/html/rfc6797#section-5
| title = Section 5. HSTS Mechanism Overview
| work = RFC 6797
| publisher = IETF
| last = Hodges
| first = Jeff
| coauthors = Jackson, Collin; Barth, Adam
| date = Nov 2012
| accessdate = 21 Nov 2012
}}</ref>

#Automaticky převede všechny nezabezpečené odkazy, které odkazují na webovou aplikaci, na zabezpečené. (<tt><nowiki>http://example.com/some/page/</nowiki></tt> bude převedeno na <tt><nowiki>https://example.com/some/page/</nowiki></tt> ''předtím'', než přistoupí na server.)
#Pokud nemůže být navázáno zabezpečené připojení (např. pokud [[Transport Layer Security|TLS]] [[certifikát]] je [[Certifikát podepsaný sám sebou|podepsaný sám sebou]]), zobrazí se chybová hláška a uživateli bude zamezen přístup do webové aplikace.<ref name="hsts-no-user-recourse">{{cite web
| url = https://tools.ietf.org/html/rfc6797#section-12.1
| title = Section 12.1. No User Recourse
| work = RFC 6797
| publisher = IETF
| last = Hodges
| first = Jeff
| coauthors = Jackson, Collin; Barth, Adam
| date = Nov 2012
| accessdate = 30 Jun 2014
}}</ref>

HSTS pomáhá chránit webové aplikace proti některým pasivním (odposlechy) a aktivním síťovým [[Počítačový_útok|útokům]].<ref name="hsts-threats-addressed">{{cite web
| url = https://tools.ietf.org/html/rfc6797#section-2.3
| title = 2.3. Threat Model
| work = RFC 6797
| publisher = IETF
| last = Hodges
| first = Jeff
| coauthors = Jackson, Collin; Barth, Adam
| date = Nov 2012
| accessdate = 21 Nov 2012
}}</ref> Díky HSTS mechanismu má útočník, který využívá [[Man_in_the_middle|man-in-the-middle]] útok, velmi sníženou šanci, že odchytí nějaké žádosti či požadavky odeslané mezi uživatelem a webovou aplikací.

== Využití ==
Technologie HSTS dokáže odstranit problémy se SSL-stripping [[Man_in_the_middle|man-in-the-middle]] útokem, který byl poprvé publikován [[Moxie Marlinspike]]m v roce 2009 na BlackHat Federal talk pod názvem „New Tricks For Defeating SSL In Practice“.<ref>{{cite paper |url=https://blackhat.com/presentations/bh-dc-09/Marlinspike/BlackHat-DC-09-Marlinspike-Defeating-SSL.pdf
|title=New Tricks For Defeating SSL In Practice
|work=
}}</ref> SSL-stripping útoky (na [[Secure Sockets Layer|SSL]] a [[Transport Layer Security|TLS]]) transparentně převádějí zabezpečený [[HTTPS]] připojení na nezabezpečené HTTP připojení. Uživatel uvidí, že jeho připojení je nezabezpečené, ale v zásadě neví, zda by připojení mělo být zabezpečené nebo ne. Mnoho stránek nevyužívá TLS/SSL, proto není žádný způsob jak zjistit, zda je připojení v nezabezpečeném HTTP kvůli útoku nebo jen proto, že stránky nevyužívají TLS/SSL.

HSTS řeší tento problém<ref name="hsts-threats-addressed" /> tak, že prohlížeči sdělí, že by připojení k serveru mělo vždy využívat TLS/SSL. HSTS hlavička může být útočníkem odstraněna, pokud uživatel na stránku přistupuje poprvé. Prohlížeče [[Google Chrome]] a [[Mozilla Firefox]] se snaží tomuto předcházet tak, že poskytuje předem načtený seznam HSTS sítí.<ref name=preloading_hsts_chromium>{{cite web
| url = http://www.chromium.org/sts
| author = Adam Langley
| title = Strict Transport Security
| work = The Chromium Projects
| date = 8 July 2010
| accessdate = 22 July 2010
}}</ref><ref name=preloading_hsts_mozillla>[https://blog.mozilla.org/security/2012/11/01/preloading-hsts/ Mozilla Security Blog – Preloading HSTS (anglicky)]</ref>
Toto řešení bohužel nelze použít pro všechny stránky v [[Internet]]u. Více níže v kapitole „Omezení“.

HSTS také pomáhá předcházet [[HTTP cookie#Cookie theft and session hijacking|krádeži přihlašovacích HTTP cookies]] pomocí rozšířeného nástroje [[Únos_spojení#Firesheep|Firesheep]] (plugin pro Firefox).<ref>[http://identitymeme.org/archives/2010/10/29/firesheep-and-hsts-http-strict-transport-security/ Firesheep and HSTS (HTTP Strict Transport Security)]</ref>

Jelikož je HSTS časově omezeno, je citlivý například na útoky, které posouvají systémový čas cílového počítače využitím falešných [[Network Time Protocol|NTP]] paketů.

== Omezení ==
Původní požadavek zůstává nechráněn proti aktivním útokům, pokud se použije nezabezpečený protokol (HTTP) nebo pokud [[Uniform Resource Identifier|URI]] pro původní požadavek byla získána přes nezabezpečený kanál.<ref name="hsts-bootstrap-mitm">{{cite web
| url = https://tools.ietf.org/html/rfc6797#section-14.6
| title = Section 14.6. Bootstrap MITM Vulnerability
| work = RFC 6797
| publisher = IETF
| last = Hodges
| first = Jeff
| coauthors = Jackson, Collin; Barth, Adam
| date = Nov 2012
| accessdate = 21 Nov 2012
}}</ref> To samé platí v případě, kdy poprvé přistupujeme na stránky po uplynutí doby stanovené HSTS politikou <tt><nowiki>max-age</nowiki></tt> (tato doba by měla být nastavena na několik dní nebo měsíců v závislosti na aktivitě a chování uživatele). Google Chrome a Mozilla Firefox řeší toto omezení pomocí „STS preloaded list“, což je seznam obsahující známé sítě, které podporují HSTS.<ref name=preloading_hsts_chromium /><ref name=preloading_hsts_mozillla /> Tento seznam je distribuován s prohlížečem, díky čemuž využívá zabezpečené připojení pro sítě v seznamu již při prvním přístupu. Avšak, jak již bylo zmíněno, toto řešení nedokáže pokrýt všechny stránky na internetu. Možným řešením by mohlo být využití [[Domain Name System|DNS]] záznamů pro deklarování HSTS politiky a přistupovat k nim zabezpečeně pomocí [[DNSSEC]].

Ani využitím „STS preloaded list“ nemůže HSTS předcházet pokročilým útokům proti TLS jako je například [[BEAST]] nebo [[CRIME]].

== Podpora v prohlížečích ==
* [[Chromium (webový prohlížeč)|Chromium]] a [[Google Chrome]] od verze 4.0.211.0 <ref name="chromium_sts">{{cite web
| url = http://dev.chromium.org/sts
| author = The Chromium Developers
| title = Strict Transport Security - The Chromium Projects
| date = 17 November 2010
| accessdate = 17 November 2010
}}</ref><ref>{{cite web
| url = http://lists.w3.org/Archives/Public/public-webapps/2009JulSep/1148.html
| author = Jeff Hodges
| title = fyi: Strict Transport Security specification
| date = 18 September 2009
| accessdate = 19 November 2009
}}</ref>
* [[Mozilla Firefox]] od verze 4;<ref>[https://blog.mozilla.org/security/2010/08/27/http-strict-transport-security/ Mozilla.org – HTTP Strict Transport Security (anglicky)]</ref> společně s Firefox 17, [[Mozilla]] integruje seznam stránek podporujících HSTS.<ref name=preloading_hsts_mozillla />
* [[Opera_(prohlížeč)|Opera]] od verze 12 <ref name="opera_presto">[http://www.opera.com/docs/specs/presto2.10/#m210-244 Opera Software ASA – Web specifications support in Opera Presto 2.10 (anglicky)]</ref>
* [[Safari_(webový_prohlížeč)|Safari]] od systému [[OS X 10.9]] <ref>{{cite web
| url=https://twitter.com/agl__/status/414112266938617856
| author = @agl__ (Adam Langley)
| title = Confirmed. See ~/Library/Cookies/HSTS.plist. Includes Chromium preloads as of some date and processes HSTS headers.
| work = on Twitter
| accessdate = 20 December 2013
}}</ref>
* [[Internet Explorer]] HSTS podporuje díky aktualizaci KB3058515 ze dne 9. června 2015 (pro MSIE 11)<ref>{{Citace elektronického periodika
| příjmení = Čížek
| jméno = Jakub
| titul = IE11 je po letech zase o kus bezpečnější. Umí HSTS
| periodikum = zive.cz
| datum vydání = 2015-06-12
| datum aktualizace =
| datum přístupu = 2015-06-12
| url = http://www.zive.cz/bleskovky/ie11-je-po-letech-zase-o-kus-bezpecnejsi-umi-hsts/sc-4-a-178654/default.aspx
}}</ref><ref>[http://www.infoworld.com/d/security/low-adoption-rate-of-hsts-website-security-mechanism-worrying-eff-says-240021 Low adoption rate of HSTS website security mechanism is worrying, EFF says (anglicky)]</ref><ref>[https://status.modern.ie/httpstricttransportsecurityhsts Internet Explorer Web Platform Status and Roadmap (anglicky)]</ref>

== Reference ==
<references />

{{Článek z Wikipedie}}
[[Kategorie:Kryptografie]]
[[Kategorie:HTTP]]
[[Kategorie:Počítačová bezpečnost]]

HTTP Strict Transport Security - Historie editací

Sysop: + Dnes bylo kolektivně rozhodnuto, že Multimediaexpo.cz bude mít v budoucnosti technologii HSTS...přesný termín ale nebyl stanoven.