HSTS (HTTP Strict Transport Security / Sıkı Taşıma Güvenliği), tarayıcılarının her zaman HTTPS üzerinden bir web sitesine bağlanmasını sağlayarak ziyaretçileri korumak için basit ve yaygın olarak desteklenen bir standarttır. HSTS, kullanıcıları http'den https'ye yeniden yönlendirmeye yönelik yaygın bir programdır.
HTTP Sıkı Aktarım Güvenliği, HSTS olarak bilinir. Web sitelerinin, bunlara erişmek için yalnızca güvenli bağlantıların kullanılması gerektiğini (HTTPS) belirtmek için kullandığı bir tekniktir. Bir web sitesi bir HSTS politikası belirlediğinde, tüm HTTP bağlantıları reddedilmelidir ve kullanıcılar güvenli olmayan SSL sertifikalarını kabul edemez. Şu anda, büyük tarayıcıların çoğu HSTS'yi desteklemektedir.
Ne yazık ki, web sitesini ilk görüntülediğinizde HSTS sizi korumaz. Bir HTTP bağlantısının HSTS başlığı, web sitesi tarafından eklenmişse dikkate alınmaz. Bunun nedeni, ortadaki adam saldırısı sırasında bir saldırganın başlıkları kaldırabilmesi veya ekleyebilmesidir. HSTS başlığının güvenilir olması için HTTPS üzerinden sağlanması gerekir.
Ayrıca, tarayıcınız başlığı her okuduğunda HSTS'nin yenilendiğini ve maksimum değerin iki yıl olduğunu bilmelisiniz. Bu, ziyaretleriniz arasında iki yıl geçtiği sürece korumanın kalıcı olduğu anlamına gelir. Bir web sitesini iki yıl boyunca ziyaret etmezseniz, yeni bir site olarak kabul edilir.
SSL sıyırma kullanan HSTS'yi kullanarak ortadaki adam (MITM) saldırılarını önleyebilirsiniz. Bir saldırgan, paketleri koklamak ve hassas verileri ele geçirmek veya değiştirmek için, tarayıcıyı HTTP üzerinden bir web sitesine bağlanmaya zorlayan SSL soymayı kullanabilir. Çerez hırsızlığına karşı korunmanın iyi bir yolu HSTS kullanmaktır.
Elemanlarınızdan birinin bir avm'de ücretsiz bir WiFi noktasında oturum açtığını, web'de gezinmeye başladığını ve şirketinizin bordro sistemini ziyaret ettiğini hayal edin.
Ne yazık ki, kullandıkları erişim noktası aslında bir saldırganın dizüstü bilgisayarıdır ve ilk HTTP isteğini yakalar ve çalışanınızı bordro sisteminizin orijinali yerine sahte bir sürümüne göndererek çalışanlarınızın kişisel kimlik verilerini (PII) açığa çıkarır.
Çalışanınızın tarayıcısı, yalnızca bordro sisteminiz HSTS kullanıyorsa ve daha önce HTTPS kullanarak ziyaret etmişse HTTPS kullanacağını bilecek ve bu tür ortadaki adam saldırısını önleyecektir.
HTTPS üzerinden bağlanamayan bir kullanıcının siteyi kullanamaması HSTS kullanımının önemli bir dezavantajıdır.
Kullanıcı aracısı, HSTS Politikası bir yanıt başlığında iletildiği için HSTS'yi uyguladığını keşfetmek için önce web sitesini ziyaret etmelidir.
Bu, ilk istek düz HTTP gibi güvenli olmayan bir protokol kullanıyorsa veya ilk istek için URI güvenli olmayan bir kanal üzerinden alınmışsa, aktif saldırılara karşı hala savunmasız olduğu anlamına gelir.
HSTS max-age'de belirtilen aktivite süresinden sonra yapılan ilk talep de aynı şekilde buna tabi olacaktır (siteler genellikle kullanıcı aktivitesine ve davranışına bağlı olarak birkaç gün veya aylık bir süre belirler).
Google Chrome, Mozilla Firefox, Internet Explorer, Microsoft Edge, Opera ve Safari dahil çok sayıda tarayıcı HSTS'yi destekler. Bu kısıtlamanın üstesinden gelmek için, HSTS Önyükleme listesinden HSTS İlkelerini önceden yüklemek bir seçenektir. Tarayıcı, HSTS'yi desteklediği bilindiğinden ve tarayıcıyla birlikte sağlandığından, HSTS listesindeki web siteleri için ilk HTTPS isteğini yapar.
Ek olarak, HSTS, ortadaki adam saldırılarına, DNS tabanlı saldırılara ve HSTS Önyükleme listesinde yer almayan hayali alanlardan gelen trafiğe hizmet veren yazım hatası yapan sitelere karşı işe yaramaz.
HSTS, TLS'ye bağlı olduğu için aynı şekilde TLS'nin güvenliğine de bağlıdır.
HSTS'yi DNS kayıtlarında beyan etme ve geçerliliği sağlayabilecek DNSSEC kullanarak bunlara güvenli bir şekilde erişebilme konusunda tartışmalar olmuştur, ancak bu yaklaşım hiçbir zaman tüm Web'e yayılamaz.
WhatsApp
