Понимание проблемы, которую решает HSTS

Описание: Понимание проблемы, которую решает HSTS
#HSTS #РЕШАЕТ #веб-безопасность #безопасностьHTTPS #HTTPS #HTTP #рискибезопасностивеб-приложений #взломвебсайтов #курсывзлома #взлом

Краткий обзор того, что такое HSTS и как от него избавиться в двух самых популярных браузерах.

HSTS расшифровывается как HTTP Strict Transport Security (строгая транспортная безопасность HTTP). Это механизм политики веб-безопасности, который заставляет веб-браузеры взаимодействовать с веб-сайтами только через защищённые HTTPS-соединения (и никогда через HTTP). Это помогает предотвратить атаки с понижением версии протокола и перехват файлов cookie.

HSTS изначально был создан в ответ на уязвимость, о которой Мокси Марлинспайк рассказал в докладе BlackHat Federal 2009 года под названием «Новые приёмы для практической борьбы с SSL». Уязвимость, от которой защищает HSTS, иллюстрируется инструментом SSLStrip Марлинспайка.

По сути, инструмент работает, преобразуя защищённые HTTPS-соединения обратно в незащищённые HTTP-соединения. HSTS решает эту проблему, сообщая браузеру о необходимости постоянного использования HTTPS-соединения. HSTS также помогает предотвратить кражу учетных данных на основе cookie-файлов распространёнными инструментами, такими как Firesheep.

К сожалению, некоторые настройки HSTS могут непреднамеренно вызывать ошибки браузера. Например, если вы используете Chrome, вы можете столкнуться с сообщением:

«Ошибка конфиденциальности: Ваше подключение не защищено» (NET::ERR_CERT_AUTHORITY_INVALID).

Если вы попытаетесь открыть тот же сайт в другом браузере и не столкнётесь с теми же проблемами, возможно, проблема в том, как настройки HSTS повлияли на ваш исходный браузер. В этом случае вам необходимо их сбросить. Вот как сбросить настройки HSTS в Google Chrome и Mozilla Firefox.

Сброс настроек HSTS в популярных браузерах. Если ваш браузер сохранил настройки HSTS для домена, а затем вы попытаетесь подключиться по HTTP или через прерванное HTTPS-соединение (несоответствие имени хоста, истёк срок действия сертификата и т. д.), вы получите сообщение об ошибке. В отличие от других ошибок HTTPS, ошибки, связанные с HSTS, обойти невозможно. Это связано с тем, что браузер получил от него явные указания не разрешать ничего, кроме защищённого соединения.

Настройки HSTS включают параметр «max-age», который указывает браузеру, как долго кэшировать и запоминать настройки перед повторной проверкой. Чтобы немедленно устранить ошибку, вам необходимо удалить локальные настройки HSTS вашего браузера для этого домена. Инструкции по этому процессу приведены ниже.

Эти настройки необходимо очистить в каждом браузере. Разработчик может столкнуться с этой ошибкой при тестировании конфигурации HSTS. В Chrome эта ошибка может возникнуть на локальном компьютере. Если вы развернули HSTS на работающем сайте для конечных пользователей, исправить возникающие ошибки может быть невозможно в зависимости от размера вашей аудитории. Каждому пользователю необходимо удалить свои локальные настройки HSTS или дождаться истечения их срока действия в соответствии с установленным «максимальным сроком действия».

Также обратите внимание: если веб-сайт всё ещё обслуживает заголовок HSTS, ваш браузер сохранит его при следующем посещении сайта. Поэтому вам необходимо сначала прекратить отправку этого заголовка, чтобы предотвратить повторное возникновение ошибки.

Ни в Chrome, ни в Firefox нет уникального кода ошибки для ошибок HSTS, но на промежуточных страницах с ошибками будет содержаться информация о HSTS.

Удаление настроек HSTS
Обратите внимание, что эти инструкции в основном полезны разработчикам, которые тестировали HSTS и теперь нуждаются в удалении настроек. Для веб-сайта, который вы не контролируете, удаление локальных настроек HSTS вашего браузера не поможет, если веб-сайт всё ещё обслуживает заголовок HSTS, поскольку ваш браузер будет просто сохранять настройки заново при каждом посещении/обновлении.
Отказ от ответственности:
Это видео доступно только в образовательных и информационных целях. Мы считаем, что каждый должен знать об этичном хакинге и кибербезопасности, чтобы избежать различных видов кибератак на компьютеры, веб-сайты, приложения и т. д. Пожалуйста, воспринимайте слово «хакинг» как этичный хакинг каждый раз, когда мы его используем.
Все наши видео сняты с использованием наших собственных систем, серверов, маршрутизаторов и веб-сайтов. Они не содержат никаких противозаконных действий. Наша единственная цель — повысить осведомленность о кибербезопасности и помочь нашим зрителям узнать, как защитить себя от любых хакерских атак. Cyber ​​Technical Knowledge не несет ответственности за любое неправомерное использование предоставленной информации.

#тестирование на проникновение #управление уязвимостями #оценка уязвимостей
#уязвимость нулевого дня #Nmap #burpsuite #metaspolite
#каквзломатьвебсайткомпании #чтотакоеуязвимость #угроза #риск #Tenable #Nessus #qualysguard #Rapid7 #Kali
#Какустановитьkalilinux #Обходкаталога #Обнаружение #Фреймворк #Рис...