HTTP Strict Transport Security
Uiterlijk
HTTP Strict Transport Security (HSTS) is een beveiligingsmechanisme nodig om HTTPS-websites te beschermen tegen zogenaamde downgrade-aanvallen. Het vereenvoudigt ook de bescherming tegen cookie hijacking. Het laat toe dat webservers vereisen dat webbrowsers alleen beveiligde HTTPS-verbindingen kunnen gebruiken, en nooit het onveilige HTTP-protocol. HSTS is een standaard protocol van het IETF en werd vastgelegd in RFC 6797.[1]
Het HSTS-beleid[2] wordt door de server doorgegeven via een HTTP-responseheader-veld genaamd "Strict-Transport-Security". Het beleid legt een tijdsperiode vast gedurende welke de browser toegang krijgt.
Browserondersteuning
[bewerken | brontekst bewerken]- Chromium en Google Chrome vanaf versie 4.0.211.0[3][4]
- Firefox vanaf versie 4;[5] vanaf Firefox 17 houdt Mozilla een lijst bij van websites die HSTS ondersteunen.
- Opera vanaf versie 12[6]
- Safari vanaf versie OS X Mavericks[7]
- Edge en Internet Explorer 11 onder Windows 10 ondersteunen HSTS.[8][9]
Zie ook
[bewerken | brontekst bewerken]Referenties
[bewerken | brontekst bewerken]- ↑ RFC 6797
- ↑ Hodges, Jeff; Jackson, Collin; Barth, Adam, Section 5.2. HSTS Policy. RFC 6797. IETF (Nov 2012). Geraadpleegd op 21 november 2012.
- ↑ The Chromium Developers, Strict Transport Security - The Chromium Projects (17 november 2010). Geraadpleegd op 17 november 2010.
- ↑ Jeff Hodges, fyi: Strict Transport Security specification (18 september 2009). Geraadpleegd op 19 november 2009.
- ↑ HTTP Strict Transport Security. Mozilla. Geraadpleegd op 17 March 2011.
- ↑ Opera Software ASA, Web specifications support in Opera Presto 2.10 (23 april 2012). Geraadpleegd op 8 mei 2012.
- ↑ @agl__ (Adam Langley), Confirmed. See ~/Library/Cookies/HSTS.plist. Includes Chromium preloads as of some date and processes HSTS headers.. on Twitter. Gearchiveerd op 5 januari 2014. Geraadpleegd op 20 december 2013.
- ↑ Internet Explorer Web Platform Status and Roadmap. Gearchiveerd op 29 juni 2015. Geraadpleegd op 14 april 2014.
- ↑ Project Spartan and the Windows 10 January Preview Build - IEBlog. Geraadpleegd op 23 januari 2015.
Externe links
[bewerken | brontekst bewerken]- RFC 6797: HTTP Strict Transport Security (HSTS)
- IETF WebSec Working Group