据我所知,HSTS 主要用于缓解著名的 sslstrip 攻击,在这种攻击中,浏览器在连接到特定站点时被迫使用 ssl。而且我认为如果站点提供的 ssl 证书有问题,它也会阻止用户继续访问站点。关于 HSTS 还有什么要了解的吗?
此外,我主要阅读有关 HSTS 的肤浅信息,并且可以将其击败。这可能吗 ?(除了在用户第一次连接之前拦截并阻塞hsts header的明显方式)
哪些浏览器支持 hsts ?可以像清除浏览器历史记录和cookies一样清除hsts数据吗?
HSTS能被打败吗?
信息安全
tls
网页浏览器
hsts
2021-08-12 20:55:10
1个回答
有关 HSTS 的更多信息?
它缓解的两个关键攻击是使用自签名证书的 sslstrip 和 MITM 攻击(例如叙利亚政府针对 Facebook 的攻击)。它还可以帮助缓解可能导致火羊式攻击的 HTTPS 实施问题。
它可以被打败。这可能吗 ?
正如您所说,HSTS 的主要限制是通过 HTTP 的初始连接,这使得 sslstrip 攻击成为可能。DNSSEC 已被提议作为对此的解决方案,但尚未实施。鉴于 HSTS 的范围很窄,其他击败它的方法可能会依赖其他攻击媒介。
哪些浏览器支持hsts?
在撰写本文时,桌面版 Firefox、Chrome、Safari 和 Opera,Android 版 Firefox、Chrome 和默认浏览器,以及 Opera Mobile。根据 StatCounter,全球用户总数为 57.84%。
来源和更新: http ://caniuse.com/stricttransportsecurity
可以像清除浏览器历史记录和cookies一样清除hsts数据吗?
是的。 这是 Firefox 的操作方法。就像清除浏览器历史记录和 cookie 一样,这不应该从页面上运行的 javascript 访问(如果是这样,这将是一个主要的安全漏洞)。
其它你可能感兴趣的问题