HTTP Strict Transport Security
HTTP Strict Transport Security (HSTS) is een beveiligingsmechanisme nodig om HTTPS-websites te beschermen tegen zogenaamde downgrade-aanvallen. Het vereenvoudigt ook de bescherming tegen cookie hijacking. Het laat toe dat webservers vereisen dat webbrowsers alleen beveiligde HTTPS-verbindingen kunnen gebruiken, en nooit het onveilige HTTP-protocol. HSTS is een standaard protocol van het IETF en werd vastgelegd in RFC 6797.[1]
Het HSTS-beleid[2] wordt door de server doorgegeven via een HTTP-responseheader-veld genaamd "Strict-Transport-Security". Het beleid legt een tijdsperiode vast gedurende welke de browser toegang krijgt.
Browserondersteuning
- Chromium en Google Chrome vanaf versie 4.0.211.0[3][4]
- Firefox vanaf versie 4;[5] vanaf Firefox 17 houdt Mozilla een lijst bij van websites die HSTS ondersteunen.
- Opera vanaf versie 12[6]
- Safari vanaf versie OS X Mavericks[7]
- Edge en Internet Explorer 11 onder Windows 10 support HSTS.[8][9]
Zie ook
Referenties
- RFC 6797
- Hodges, Jeff; Jackson, Collin; Barth, Adam, Section 5.2. HSTS Policy. RFC 6797. IETF (Nov 2012). Geraadpleegd op 21 Nov 2012.
- The Chromium Developers, Strict Transport Security - The Chromium Projects (17 november 2010). Geraadpleegd op 17 november 2010.
- Jeff Hodges, fyi: Strict Transport Security specification (18 september 2009). Geraadpleegd op 19 november 2009.
- HTTP Strict Transport Security. Mozilla. Geraadpleegd op 17 March 2011.
- Opera Software ASA, Web specifications support in Opera Presto 2.10 (23 april 2012). Geraadpleegd op 8 mei 2012.
- @agl__ (Adam Langley), Confirmed. See ~/Library/Cookies/HSTS.plist. Includes Chromium preloads as of some date and processes HSTS headers.. on Twitter. Geraadpleegd op 20 december 2013.
- Internet Explorer Web Platform Status and Roadmap. Geraadpleegd op 14 april 2014.
- Project Spartan and the Windows 10 January Preview Build - IEBlog. Geraadpleegd op 23 januari 2015.
Externe links
- RFC 6797: HTTP Strict Transport Security (HSTS)
- IETF WebSec Working Group
This article is issued from
Wikipedia.
The text is licensed under Creative
Commons - Attribution - Sharealike.
Additional terms may apply for the media files.