١- HTTP Strict Transport Security (HSTS) : هي سياسة أمان خادم الويب تجبر متصفحات الويب على الاستجابة عبر اتصالات HTTPS بدلاً من HTTP.
#أمن_المعلومات
#أمن_المعلومات
٢- كيف يعمل HSTS؟
عندما يتم إدخال عنوان URL في متصفح الويب ويتم حذف جزء البروتوكول ، على سبيل المثال ، بكتابة Infosec.com بدلاً من Infosec.com ، يفترض المتصفح أن المستخدم يريد استخدام بروتوكول HTTP.
#أمن_المعلومات
عندما يتم إدخال عنوان URL في متصفح الويب ويتم حذف جزء البروتوكول ، على سبيل المثال ، بكتابة Infosec.com بدلاً من Infosec.com ، يفترض المتصفح أن المستخدم يريد استخدام بروتوكول HTTP.
#أمن_المعلومات
٣- يرسل بروتوكول HTTP المعلومات بنص عادي ، وبالتالي يعتبر بروتوكولًا ضعيفًا. يمكن لأي مخترق في نفس الشبكة أن يقوم بهجوم MITM.
#أمن_المعلومات
#أمن_المعلومات
٤- عادةً ، في هذه الحالة ، يستجيب خادم الويب بإعادة توجيه (رمز الاستجابة 301) يشير إلى موقع HTTPS. ثم ، يتم إنشاء اتصال HTTPS مع Infosec.com
#أمن_المعلومات
#أمن_المعلومات
٥- لمنع ذلك لاحقا ،سيتم إرسال المعلومات في نص عادي مرة أخرى عن طريق الخطأ ، باستخدام بروتوكول HTTP ، يستجيب الخادم في header لتطبيق سياسة أمان HSTS بمجرد إجراء اتصال HTTPS.يسمى هذا header HSTS ويبدو كما يلي:
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
٦- يعطي هذا header تعليمات محددة للمتصفح. من الآن فصاعدًا ، يجب أن يكون كل اتصال بالموقع ومجالاته الفرعية للعام التالي (31536000 ثانية) منذ اللحظة التي تتلقى فيها هذا header ، عبارة عن اتصال HTTPS.
#أمن_المعلومات
#أمن_المعلومات
٧- اتصالات HTTP غير مسموح بها على الإطلاق. إذا تلقى المتصفح طلبًا لتحميل مورد باستخدام HTTP ، فيجب أن يجربه مع طلب HTTPS. في حالة عدم توفر HTTPS ، يجب إنهاء الاتصال.
#أمن_المعلومات
#أمن_المعلومات
٨- بالإضافة إلى ذلك ، إذا كانت الشهادة غير صالحة ، فسيتم إنهاء الاتصال. عادةً ، إذا كانت الشهادة غير صالحة (منتهية الصلاحية ، موقعة ذاتيًا ، موقعة من مرجع مصدق غير معروف ، وما إلى ذلك) ، يعرض المتصفح تحذيرًا يمكن تجاوزه.
#أمن_المعلومات
#أمن_المعلومات
٩- ومع ذلك ، إذا تم تكوين الموقع باستخدام HSTS ، فلن يسمح المتصفح بتجاوز التحذير على الإطلاق. للوصول إلى الموقع ، يجب إزالته من قائمة HSTS للمتصفح.
#أمن_المعلومات
#أمن_المعلومات
١٠- The Strict-Transport-Security header يتم إرسالها لموقع ويب معين وتغطي اسم مجال “domain “معين.
HSTS header لـ test.Infosec.com لن يغطي InfoSec.com ، فقط اختبار النطاق الفرعي “ subdomain “لذلك ، من أجل الحماية الكاملة ، يجب تضمين call في النطاق الأساسي .
HSTS header لـ test.Infosec.com لن يغطي InfoSec.com ، فقط اختبار النطاق الفرعي “ subdomain “لذلك ، من أجل الحماية الكاملة ، يجب تضمين call في النطاق الأساسي .
جاري تحميل الاقتراحات...