Ana Sayfa Güvenlik HSTS Nedir ve HTTPS'yi Hackerlardan Nasıl Korur?

HSTS Nedir ve HTTPS'yi Hackerlardan Nasıl Korur?

  • Michael Cain
  • 0
  • 4346
  • 921
reklâm

Web sitelerinizin SSL’nin etkin olduğundan ve tarayıcınızdaki güzel güvenlik kilidinin yeşil olduğundan emin olabilirsiniz. Bununla birlikte, HTTP'nin küçük güvenlik görevlisi olan HTTP Sıkı Taşımacılık Güvenliği'ni (HSTS) unutmuş olabilirsiniz..

HSTS nedir ve sitenizi güvende tutmaya nasıl yardımcı olabilir??

HTTPS Nedir??

Güvenli Köprü Metni Aktarım Protokolü (HTTPS) bir web sitesinin (HTTP) güvenli bir sürümüdür. Şifreleme, Güvenli Yuva Katmanı (SSL) protokolü kullanılarak etkinleştirilir ve bir SSL sertifikasıyla doğrulanır. Bir HTTPS web sitesine bağlandığınızda, web sitesi ile kullanıcı arasında aktarılan bilgiler şifrelenir..

Bu şifreleme, Ortadaki Adam Saldırıları (MITM) aracılığıyla veri hırsızlığına karşı korunmanıza yardımcı olur. Eklenen güvenlik katmanı da biraz web sitenizin itibarını artırmanıza yardımcı olur Demystify SEO: 5 Başlamanıza Yardımcı Olan Arama Motoru Optimizasyonu Kılavuzları SEO Demystify: 5 Başlamanıza Yardımcı Olan Arama Motoru Optimizasyonu Kılavuzları ve hata. Temel bilgileri öğrenmeye başlayabilir ve Web’de bulunan birçok SEO kılavuzunun yardımı ile kolayca ortak SEO hatalarından kaçınabilirsiniz. . Aslında, bir SSL sertifikası eklemek o kadar kolaydır ki, pek çok web sunucusu, sitenize varsayılan olarak ücretsiz olarak ekler! Bununla birlikte, HTTPS'nin HSTS'nin düzeltmeye yardımcı olabileceği bazı kusurlar var.

HSTS Nedir??

HSTS, web sitelerine yalnızca HTTPS üzerinden erişilebilen bir tarayıcıyı bilgilendiren bir yanıt başlığıdır. Bu, tarayıcınızı sadece web sitesinin HTTPS sürümüne ve buradaki kaynaklara erişebilmeye zorlar.

SSL sertifikanızı doğru ayarlamış ve web siteniz için HTTPS'yi etkinleştirmiş olsanız bile, HTTP sürümünün hala kullanılabilir olduğunu bilmiyor olabilirsiniz. Bu, 301 Kalıcı Yönlendirme'yi kullanarak yönlendirme ayarlamış olsanız bile geçerlidir..

HSTS politikası bir süredir her ne kadar uzun bir süredir devam etse de, Temmuz 2016’da Google tarafından resmen yayınlandı. Bu yüzden henüz bu kadar bir şey duymadınız..

HSTS'yi etkinleştirmek SSL protokolü saldırılarını ve çerez kaçırma işlemlerini durduracak, Çerez Nedir ve Gizliliğimle Ne Yapmalı? [MakeUseOf Açıklar] Çerez Nedir ve Gizliliğim ile Ne Yapmalı? [MakeUseOf Açıklar] Çoğu insan, Internet’in her tarafına dağılmış, ilk önce onları bulan herkes tarafından yenilmeye hazır ve yemeye istekli olduğunu biliyor. Bir dakika ne? Bu doğru olamaz. Evet, çerezler var… SSL’li web sitelerinde ek iki güvenlik açığı. Bir web sitesini daha güvenli hale getirmenin yanı sıra, HSTS, yükleme prosedüründeki bir adımı kaldırarak sitelerin daha hızlı yüklenmesini sağlar.

SSL Sıyırma Nedir?

Her ne kadar HTTPS, HTTP'den büyük bir gelişme olsa da saldırıya uğramaz. SSL soyma, kullanıcıları bir HTTP’den web sitelerinin HTTPS sürümlerine göndermek için yönlendirmeyi kullanan web siteleri için çok yaygın bir MITM kesmesidir..

301 (kalıcı) ve 302 (geçici) yönlendirmeleri temelde şöyle çalışır:

  1. Bir kullanıcı türleri google.com tarayıcılarının adres çubuğunda.
  2. Tarayıcı başlangıçta yüklenmeye çalışıyor http://google.com varsayılan olarak.
  3. “Google.com” 301'e kalıcı bir yönlendirme ile ayarlandı. https://google.com.
  4. Tarayıcı yönlendirmeyi görür ve yükler https://google.com yerine.

SSL sıyırma ile hacker, yönlendirme isteğini engellemek ve tarayıcının web sitesinin güvenli (HTTPS) sürümünü yüklemesini durdurmak için 3. ve 4. adımlar arasındaki süreyi kullanabilir. Daha sonra web sitesinin şifrelenmemiş bir sürümüne eriştiğinizde, girdiğiniz veriler çalınabilir.

Bilgisayar korsanı, erişmeye çalıştığınız web sitesinin bir kopyasına da sizi yönlendirebilir ve girdiğiniz tüm verilerinizi güvenli görünse bile alabilir.

Google, bazı yönlendirme türlerini durdurmak için Chrome'da adımlar uyguladı. Ancak, HSTS’yi etkinleştirmek, bundan sonra tüm web siteleriniz için varsayılan olarak yaptığınız bir şey olmalıdır..

HSTS'yi Etkinleştirmek SSL Sıfırlamayı Nasıl Durdurur??

HSTS'nin etkinleştirilmesi, tarayıcıyı bir web sitesinin güvenli sürümünü yüklemeye zorlar ve herhangi bir yönlendirme ve herhangi bir başka çağrıyı görmezden gelir. Bu, 301 ve 302 yönlendirmeleri ile var olan yeniden yönlendirme güvenlik açığını kapatır.

HSTS'nin bile olumsuz bir tarafı vardır ve bu, bir kullanıcının tarayıcısının, gelecekteki ziyaretler için bundan en az bir kez önce HSTS başlığını en az bir kez görmesi gerektiğidir. Bu, HSTS özellikli bir web sitesini ilk kez ziyaret ettiklerinde onları savunmasız bırakarak en az bir kez HTTP> HTTPS işleminden geçmek zorunda kalacakları anlamına gelir.

Bununla mücadele etmek için Chrome, HSTS’nin etkin olduğu web sitelerinin bir listesini önceden yükler. Kullanıcılar, gerekli (basit) kriterlere uyuyorlarsa HSTS özellikli web sitelerini önyükleme listesine ekleyebilirler.

Bu listeye eklenen web siteleri, Chrome güncellemelerinin gelecekteki sürümlerine kodlanmış olacaktır. HSTS özellikli web sitelerinizi, güncellenmiş Chrome sürümlerinde ziyaret eden herkesin güvende kalmasını sağlar.

Firefox, Opera, Safari ve Internet Explorer kendi HSTS önyükleme listesine sahiptir, ancak hstspreload.org adresindeki Chrome listesine dayanır..

Web Sitenizde HSTS Nasıl Etkinleştirilir?

HSTS'yi web sitenizde etkinleştirmek için öncelikle geçerli bir SSL sertifikasına sahip olmanız gerekir 7 Sitenizin bir SSL Sertifikası İhtiyacı Var 7 Sitenizin bir SSL Sertifikası İhtiyacı Var site: bir SSL sertifikasına ihtiyacınız var. İşte neden bazı pratik nedenler. . HSTS’yi bir olmadan etkinleştirirseniz, siteniz herhangi bir ziyaretçinin kullanımına açık olmayacaktır, bu nedenle devam etmeden önce web sitenizin ve alt etki alanlarının HTTPS üzerinden çalıştığından emin olun.

HSTS'yi etkinleştirmek oldukça kolaydır. Sitenizdeki .htaccess dosyasına bir başlık eklemeniz yeterlidir. Eklemeniz gereken başlık:

Sıkı Taşımacılık Güvenliği: maksimum yaş = 31536000; includeSubDomains

Bu, bir yıllık maksimum yaş erişim çerezi ekler (çerez nedir? Çerezler Hepsi Kötü Değil: 6 Tarayıcınızda Etkinleştirilmesi İçin 6 Sebep Çerezler Hepsi Kötü Değil: 6 Tarayıcınızda Etkinleştirilmesi İçin Sebep Gerçekten kurabiyeler Hepsi bu kadar kötü? Güvenlik ve gizliliğinizi riske atıyorlar mı ya da çerezleri etkinleştirmek için iyi nedenler var mı?) (web sitenizi ve alt etki alanlarınızı içerir). Bir tarayıcı web sitesine eriştikten sonra, web sitesinin güvenli olmayan HTTP sürümüne bir yıl boyunca erişemez. Bu etki alanındaki tüm alt etki alanlarının SSL sertifikasına dahil edildiğinden ve HTTPS'nin etkin olduğundan emin olun. Bunu unutursanız, .htaccess dosyasını kaydettikten sonra alt alan adlarına erişilemez.

Eksik olan web siteleri includeSubDomains seçeneği, alt alan adlarının çerezleri manipüle etmesine izin vererek ziyaretçileri gizlilik sızıntılarına maruz bırakabilir. İle includeSubDomains etkinleştirildiğinde, çerezle ilgili bu saldırılar mümkün olmaz.

Not: Bir yıllık maksimum yaşı eklemeden önce, tüm sitenizi ilk önce beş dakikalık maksimum yaşla test edin: Max-yaş = 300;

Google, iki yıllık bir maksimum yaş uygulamadan önce web sitenizi ve performansını (trafik) bir hafta ve bir aylık değerle test etmenizi bile tavsiye eder.

Beş dakika: Katı Taşımacılık Güvenliği: maksimum yaş = 300; includeSubDomains Bir hafta: Sıkı Taşımacılık Güvenliği: maksimum yaş = 604800; includeSubDomains Bir ay: Katı Taşımacılık Güvenliği: maksimum yaş = 2592000; includeSubDomains

HSTS Ön Yükleme Listesini Yapma

Şu ana kadar HSTS ile ilgili bilgi sahibi olmanız ve sitenizin onu kullanmasının neden önemli olduğunu bilmelisiniz. Web sitenizi ziyaret edenleri çevrimiçi ortamda güvende tutmak, site planınızın temel unsurlarından biri olmalıdır..

Chrome ve diğer tarayıcıların kullandığı HSTS önyükleme listesine katılmak için web sitenizin aşağıdaki gereksinimleri karşılaması gerekir:

  1. Geçerli bir SSL sertifikası ver.
  2. 80 numaralı bağlantı noktasını dinliyorsanız, aynı ana bilgisayardaki HTTP'den HTTPS'ye yönlendirin.
  3. Tüm alt alanları HTTPS üzerinden sunun. Özellikle, HTTPS’yi www.subdomain bu alt alan adı için bir DNS kaydı varsa.
  4. HTTPS istekleri için temel etki alanındaki HSTS başlığını kullanın:
    • Maksimum yaş en az 31536000 saniye olmalıdır (1 yıl).
    • İncludeSubDomains yönergesi belirtilmelidir.
    • Ön yükleme yönergesi belirtilmelidir.
    • HTTPS sitenizden ek bir yönlendirme sunuyorsanız, söz konusu yönlendirme hala HSTS başlığına sahip olmalıdır (yönlendirdiği sayfa yerine).

Web sitenizi HSTS önyükleme listesine eklemek istiyorsanız, gerekli olanları eklediğinizden emin olun. preload etiket. “preload” seçeneği, web sitenizin Chrome'un HSTS önyükleme listesine eklenmesini istediğinizi belirtir. .Htaccess'deki cevap başlığı şöyle görünmelidir:

Sıkı Taşımacılık Güvenliği: maksimum yaş = 63072000; includeSubDomains; preload

Web sitenizi hstspreload.org sitesine eklemenizi öneririz. Gereksinimlerin karşılanması oldukça kolaydır ve web sitenizi ziyaret edenlerin korunmasına yardımcı olur ve web sitenizin arama motoru sıralamasını iyileştirir. Arama Motorları Nasıl Çalışır? Arama Motorları Nasıl Çalışır? Birçok insan için, Google internet. İnternetin kendisinden beri tartışmasız en önemli buluş. Ve arama motorları o zamandan beri çok değişmiş olsa da, temel prensipler hala aynı. .




Henüz no comments

Kumandasız Oynayabileceğiniz En İyi VR Oyunları
Eğlence
Kahramanları Gözden Geçirmeye Başlayanlar İçin Yeni Bir Rehber
Eğlence
PS4 için En İyi 10 Yerel Çok Oyunculu Oyun
Eğlence
Modern teknoloji hakkında basit ve uygun fiyatlı.
Modern teknoloji dünyasında rehberiniz. Her gün bizi çevreleyen teknolojileri ve araçları nasıl kullanacağınızı ve Internet'te ilginç şeyleri nasıl keşfedeceğinizi öğrenin.