Microsoft вводить HSTS для Windows 7 і 8.1

Досить скромний набір оновлень, випущений Microsoft минулого тижня, привніс додаткову міру безпеки для користувачів Internet Explorer 11 під Windows 7 і Windows 8.1 – HSTS.

Сувора безпеку передачі інформації по протоколу HTTP (HTTP Strict Transport Security, HSTS) реалізована у вигляді заголовка політики безпеки, який диктує браузерам підключатися тільки по HTTPS, оперуючи попередньо завантаженим списком сайтів, що підтримують цей протокол. Даний механізм забезпечує шифрування комунікацій з веб-сайтами і присікає спроби впровадження в сесії по типу «людина посередині».

Згідно OWASP, підтримка стандарту HSTS також дозволяє захиститися від кібератак з використанням недійсних цифрових сертифікатів і блокує самостійне зняття заборони для повідомлень з невалидность підписом. Крім того, HSTS захищає користувачів від переходів на HTTPS-сайти, які можуть містити HTTP-посилання або віддавати нешифрований контент.

HSTS вже включений за замовчуванням в Internet Explorer 11 для версії Windows 10 Insider Preview і в новому браузері Microsoft Edge, який, як очікується, увійде до складу повнофункціональної Windows 10.

«Розробники сайтів зможуть використовувати політики HSTS для захисту з’єднань, приєднавшись до HSTS-списку, який завантажується в Microsoft Edge, Internet Explorer та інші браузери, щоб перенаправляти HTTP-трафік на HTTPS, – пояснює Кайл Пфлуг (Kyle Pflug), керівник проекту Microsoft Edge . – Комунікації з цими сайтами, починаючи з первинного підключення, будуть автоматично підвищуватися до безпечного рівня ».

Microsoft вводить HSTS пізніше інших великих вендорів браузерів. У Google Chrome і Mozilla Firefox така підтримка існує з 2011 року, Apple додала її в Safari з випуском версії 10.9 Mavericks. Незадовго до введення HSTS, в травні, Microsoft привнесла в Windows досконалу пряму секретність (Perfect Forward Secrecy, PFS), яка нині вважається важливим заходом безпеки, особливо для нових додатків.

Підтримка HSTS була включена в накопичувальне оновлення для IE, що вийшло минулого тижня. Воно усунуло два десятка вразливостей, більшість з яких відкривають можливість для віддаленого виконання довільного коду.

HSTS також допомагає усунути проблеми зі змішаним контентом, припиняючи завантаження небезпечних HTTP-сценаріїв під час з’єднання з сайтом по HTTPS. «Вперше анонсуючи HSTS в Windows 10, ми відзначили, що сервери, що підтримують HSTS, не віддають змішаний вміст, – коментує Пфлуг. – З урахуванням нинішніх оновлень так завжди і буде з Microsoft Edge на Windows 10: змішаний контент на цих серверах завжди заблокований. При завантаженні сторінки зі змішаним контентом в Internet Explorer 11 під Windows 10, Windows 8.1 або Windows 7 панель інформації запитає у користувача дозвіл на виконання небезпечного сценарію ».

Ссылка на основную публикацию