Naudotojas:IV ElidijusC: Skirtumas tarp puslapio versijų
(→HSTS) |
|||
| 1 eilutė: | 1 eilutė: | ||
===HSTS=== | ===HSTS=== | ||
| − | HTTP Strict Transport Security (HSTS) - | + | HTTP Strict Transport Security (HSTS) - interneto svetainių saugumo mechanizmas, skirtas apsaugoti svetainę nuo duomenų nutekėjimo. Šis mechanizmas leidžia svetainei nurodyti, kad interneto naršyklės turi ją atidaryti tik saugiu HTTPS protokolu ir negali užmegzti susijungimo HTTP protokolu. |
====Veikimas==== | ====Veikimas==== | ||
| − | Svetainės savininkas HTTP antraščių pagalba gali nurodyti kaip ateityje | + | Svetainės savininkas HTTP antraščių pagalba gali nurodyti, kaip ateityje interneto naršyklėms reikėtų užmegzti ryšį su jo svetaine. Pavyzdžiui, nurodžius antraštę <code>Strict-Transport-Security: max-age=31536000</code> - tai reikš, kad ateinančias 31536000 sekundžių (365 dienas) visos naršyklės su svetaine ryšį turės užmegzti tik HTTPS protokolu. |
| − | + | ||
| − | # Visos svetainės nuorodos | + | Šio mechanizmo esminiai veikimo principai yra: |
| + | # Visos svetainės nuorodos priverstinai pakeičiamos į saugias, pavyzdžiui nuoroda <code><nowiki>http://mano-svetaine.lt/idomus-straipsnis.html</nowiki></code> bus pakeista į <code><nowiki>https://mano-svetaine.lt/idomus-straipsnis.html</nowiki></code> dar prieš pilnai užkraunant visą svetainę. | ||
# Jei saugus susijungimas negali būti užmegztas (serveryje nėra įdiegtas SSL sertifikatas), tada pateikiamas klaidos pranešimas. | # Jei saugus susijungimas negali būti užmegztas (serveryje nėra įdiegtas SSL sertifikatas), tada pateikiamas klaidos pranešimas. | ||
| − | + | HSTS mechanizmas pilnai apsaugo nuo trečių šalių įsikišimo tarp lankytojo ir serverio. | |
| − | Vienintelis minusas yra tai, kad | + | Vienintelis minusas yra tai, kad interneto naršyklėse, per kurias lankytojai pirmą kartą atidarys atitinkamą interneto svetainę, pirmojo susijungimo metu dar gali būti bandoma svetainę pasiekti HTTP protokolu. Norint išspręsti šią problemą, galima įtraukti savo svetainę į specialų HSTS mechanizmą naudojančių svetainių sąrašą ([https://hstspreload.org/ hstspreload.org]) |
====Įgyvendinimas==== | ====Įgyvendinimas==== | ||
| − | Norėdami įjungti HSTS savo svetainėje, rekomenduotume savo PHP | + | Norėdami įjungti HSTS savo svetainėje, rekomenduotume savo svetainės faile (-uose) su PHP programiniu kodu nurodyti žemiau esantį kodą. Šis kodas turėtų būti įterptas į failą, kuris visada yra užkraunamas naršant po Jūsų svetainę (rekomenduotinas variantas yra pridėti antraštę Apache konfigūracijoje, tačiau serveriai.lt klientai neturi tokios galimybės). Todėl vienintelis variantas yra įterpti šį kodą į PHP failą: |
<?php | <?php | ||
| 22 eilutė: | 23 eilutė: | ||
* "max-age" leidžia nurodyti norimą laiką, "31536000" - 12 mėnesių arba "63072000" - 24 mėnesiai. | * "max-age" leidžia nurodyti norimą laiką, "31536000" - 12 mėnesių arba "63072000" - 24 mėnesiai. | ||
* "includeSubdomains" reiškia, kad ir visi subdomenai bus pasiekiami HTTPS prievadu. | * "includeSubdomains" reiškia, kad ir visi subdomenai bus pasiekiami HTTPS prievadu. | ||
| − | * "preload" | + | * "preload" nurodykite, jei norite įtraukti svetainę į HSTS mechanizmą naudojančių svetainių sąrašą ([https://hstspreload.org/ hstspreload.org]). |
13:34, 5 balandžio 2018 versija
HSTS
HTTP Strict Transport Security (HSTS) - interneto svetainių saugumo mechanizmas, skirtas apsaugoti svetainę nuo duomenų nutekėjimo. Šis mechanizmas leidžia svetainei nurodyti, kad interneto naršyklės turi ją atidaryti tik saugiu HTTPS protokolu ir negali užmegzti susijungimo HTTP protokolu.
Veikimas
Svetainės savininkas HTTP antraščių pagalba gali nurodyti, kaip ateityje interneto naršyklėms reikėtų užmegzti ryšį su jo svetaine. Pavyzdžiui, nurodžius antraštę Strict-Transport-Security: max-age=31536000 - tai reikš, kad ateinančias 31536000 sekundžių (365 dienas) visos naršyklės su svetaine ryšį turės užmegzti tik HTTPS protokolu.
Šio mechanizmo esminiai veikimo principai yra:
- Visos svetainės nuorodos priverstinai pakeičiamos į saugias, pavyzdžiui nuoroda
http://mano-svetaine.lt/idomus-straipsnis.htmlbus pakeista įhttps://mano-svetaine.lt/idomus-straipsnis.htmldar prieš pilnai užkraunant visą svetainę. - Jei saugus susijungimas negali būti užmegztas (serveryje nėra įdiegtas SSL sertifikatas), tada pateikiamas klaidos pranešimas.
HSTS mechanizmas pilnai apsaugo nuo trečių šalių įsikišimo tarp lankytojo ir serverio. Vienintelis minusas yra tai, kad interneto naršyklėse, per kurias lankytojai pirmą kartą atidarys atitinkamą interneto svetainę, pirmojo susijungimo metu dar gali būti bandoma svetainę pasiekti HTTP protokolu. Norint išspręsti šią problemą, galima įtraukti savo svetainę į specialų HSTS mechanizmą naudojančių svetainių sąrašą (hstspreload.org)
Įgyvendinimas
Norėdami įjungti HSTS savo svetainėje, rekomenduotume savo svetainės faile (-uose) su PHP programiniu kodu nurodyti žemiau esantį kodą. Šis kodas turėtų būti įterptas į failą, kuris visada yra užkraunamas naršant po Jūsų svetainę (rekomenduotinas variantas yra pridėti antraštę Apache konfigūracijoje, tačiau serveriai.lt klientai neturi tokios galimybės). Todėl vienintelis variantas yra įterpti šį kodą į PHP failą:
<?php
header("Strict-Transport-Security:max-age=63072000; includeSubdomains; preload");
?>
- "max-age" leidžia nurodyti norimą laiką, "31536000" - 12 mėnesių arba "63072000" - 24 mėnesiai.
- "includeSubdomains" reiškia, kad ir visi subdomenai bus pasiekiami HTTPS prievadu.
- "preload" nurodykite, jei norite įtraukti svetainę į HSTS mechanizmą naudojančių svetainių sąrašą (hstspreload.org).
