|
|
| (nerodoma 29 tarpinės versijos, sukurtos 3 naudotojų) |
| 1 eilutė: |
1 eilutė: |
| − | ===HSTS===
| + | Hello World! |
| − | | |
| − | HTTP Strict Transport Security (HSTS) - internetinių svetainių saugumo mechanizmas skirtas apsaugoti svetainę nuo duomenų nutekėjimo. Šis mechanizmas leidžia svetainei nurodyti, kad internetinės naršyklės turi ją atidaryti saugiu HTTPS prievadu ir negali užmegzti susijungimo HTTP prievadu.
| |
| − | | |
| − | ====Veikimas====
| |
| − | | |
| − | Svetainės savininkas HTTP antraščių pagalba gali nurodyti kaip ateityje internetinėms naršyklėms reikėtų užmegzti ryšį su jo svetaine. Pavyzdžiui nurodant tokią antraštę.: <code>Strict-Transport-Security: max-age=31536000</code>, reiškia, kad ateinančias 31536000 sekundžių (365 dienas) visos naršyklės turi užmegzti ryšį tik HTTPS prievadu.
| |
| − | Kaip tai suveikia:
| |
| − | # Visos svetainės nuorodos priverčiamai pakeičiamos į saugias, pavyzdžiui nuoroda <code><nowiki>http://mano-svetaine.lt/idomus-straipsnis.html</nowiki></code> bus pakeista į <code><nowiki>https://mano-svetaine.lt/idomus-straipsnis.html</nowiki></code> dar prieš pilnai užkraunant visai svetainei.
| |
| − | # Jei saugus susijungimas negali būti užmegztas (serveryje nėra įdiegtas SSL sertifikatas), tada pateikiamas klaidos pranešimas.
| |
| − | Toks veikimas pilnai apsaugo nuo trečių šalių įsikišimo tarp lankytojo ir serverio.
| |
| − | Vienintelis minusas yra tai, kad pirmu naršyklės susijungimu su svetainė dar gali būti bandoma pasiekti HTTP prievadu, norint išspręsti šią problemą galima užregistruoti savo svetainę, kad ją įtrauktų į svetainių sąrašą, kurios naudoja HSTS ([https://hstspreload.org/ hstspreload.org])
| |
| − | | |
| − | ====Įgyvendinimas====
| |
| − | | |
| − | Norėdami įjungti HSTS savo svetainėje, rekomenduotume savo PHP failuose nurodyti žemiau esantį kodą. Šis kodas turėtų būti įterptas į failą, kuris visada yra užkraunamas naršant po Jūsų svetainę (rekomenduotinas variantas yra pridėti antraštę Apache konfigūracijoje, tačiau serveriai.lt klientai neturi tokios galimybės).
| |
| − | | |
| − | <?php
| |
| − | header("Strict-Transport-Security:max-age=63072000; includeSubdomains; preload");
| |
| − | ?>
| |
| − | | |
| − | * "max-age" leidžia nurodyti norimą laiką "31536000" - 12 mėnesių arba "63072000" - 24 mėnesiai.
| |
| − | * "includeSubdomains" reiškia, kad ir visi subdomenai bus pasiekiami HTTPS prievadu.
| |
| − | * "preload" nurodo, kad norite įtraukti svetainę į sąrašą svetainių, kurios naudoja HSTS ([https://hstspreload.org/ hstspreload.org])
| |
