• Padrão Internet: HTTP Strict Transport Security

    Publicado em 21-11-2012 19:55
    0 Comentários Comentários
    O Internet Engineering Task Force (IETF) publicou o RFC 6797, formalmente declarando o HTTP Strict Transport Security para HTTPS como padrão Internet. HSTS é projetado para permitir que servidores (HTTP) possam garantir que todos os serviços oferecidos podem ser acessados somente por meio de conexões seguras, que são criptografadas utilizando mecanismos como Transport Layer Security ( TLS ). Do ponto de vista do cliente, aplicações HSTS são projetadas (agentes de usuário) para usar apenas conexões criptografadas ao se comunicar com web sites.



    HSTS é implementado em web servers como Apache, Nginx e Lighttpd


    Sites como o Open Web Application Security Project's descrevem como implementar o uso de HSTS em servidores web como o Apache, Nginx e Lighttpd. O principal objectivo do HSTS é neutralizar os ataques a sites da web com criptografia SSL, que foram descritos pelo pesquisador de segurança Marlinspike Moxie, em 2009. Estes ataques não tentam, diretamente, quebrar conexões SSL. Ao invés disso, eles se aproveitam do fato de que os usuários geralmente não utilizam https:// para acessar uma página, mas sim tendem a visitar a URL não criptografada e então acreditam que eles vão ser redirecionados para a versão HTTPS no devido tempo.


    Saiba Mais:

    [1] Heise On-line http://www.h-online.com/open/news/it...d-1754549.html
    + Enviar Comentário