Добавить в корзинуПозвонить
Найти в Дзене
RamExt
53 подписчика

Что такое HSTS и почему мастер по электронике вдруг о нём заговорил?

4
2 мин
Доброго
времени суток. Многие из вас, наверное, думают, что я занимаюсь только
паяльником и отверткой, но в современном мире без понимания базовых
принципов безопасности в сети никуда. Особенно, когда люди приносят
компьютеры, которые "сами что-то делают" или "на них вылезает всякая
реклама". И вот тут-то я и объясняю им про HSTS, что расшифровывается
как HTTP Strict Transport Security.
Звучит, конечно, академично,
но на самом деле это очень простая и важная вещь. Давайте я объясню это
на пальцах. Представьте, что вы хотите зайти на какой-то сайт, например,
на сайт вашего банка. Для этого вы набираете в браузере адрес. По
умолчанию, браузер пытается сначала соединиться с сайтом по протоколу
HTTP. И только если сайт его туда "не пускает", он переключается на
безопасный протокол HTTPS. И вот этот момент переключения, хоть и очень
быстрый, но может быть опасным. Представьте, что в это мгновение между
вами и сайтом банка кто-то "вклинился". Этот злоумышленник может
перехва

Что такое HSTS и почему мастер по электронике вдруг о нём заговорил?
Что такое HSTS и почему мастер по электронике вдруг о нём заговорил?

Доброго
времени суток. Многие из вас, наверное, думают, что я занимаюсь только
паяльником и отверткой, но в современном мире без понимания базовых
принципов безопасности в сети никуда. Особенно, когда люди приносят
компьютеры, которые "сами что-то делают" или "на них вылезает всякая
реклама". И вот тут-то я и объясняю им про HSTS, что расшифровывается
как HTTP Strict Transport Security.

Звучит, конечно, академично,
но на самом деле это очень простая и важная вещь. Давайте я объясню это
на пальцах. Представьте, что вы хотите зайти на какой-то сайт, например,
на сайт вашего банка. Для этого вы набираете в браузере адрес. По
умолчанию, браузер пытается сначала соединиться с сайтом по протоколу
HTTP. И только если сайт его туда "не пускает", он переключается на
безопасный протокол HTTPS. И вот этот момент переключения, хоть и очень
быстрый, но может быть опасным. Представьте, что в это мгновение между
вами и сайтом банка кто-то "вклинился". Этот злоумышленник может
перехватить информацию, которую вы отправляете, например, ваш логин и
пароль. Это называется атакой "человек посередине".

Так вот,
HSTS, это как бы "записка", которую сайт оставляет вашему браузеру. В
этой "записке" он говорит: "Слушай, пожалуйста, всегда заходи ко мне
только по безопасному протоколу HTTPS. Даже не пытайся зайти по HTTP". И
эта записка имеет "срок годности". Браузер запоминает это правило на
определенное время, и пока оно действует, он будет автоматически
переключаться на HTTPS, даже если вы ввели адрес с HTTP. Это значительно
снижает риск атаки.

Иными словами, HSTS, это механизм, который
принуждает браузеры использовать только зашифрованное соединение с
сайтом, исключая возможность "сваливания" на небезопасное HTTP. Это как
если бы вы приходили в банк, а вас сразу же вели в самое защищенное
хранилище, минуя обычный холл. Это очень важно для сайтов, которые
работают с чувствительными данными, например, банков, социальных сетей
или интернет-магазинов.

Как мастер, я вижу это так. Это как
поставить надёжный замок на входную дверь, чтобы никто не мог войти.
Конечно, это не спасёт от всего, но от многих распространённых угроз,
вполне. Проблема в том, что многие сайты, особенно старые или не очень
популярные, до сих пор не используют эту технологию. И в этом их большая
ошибка. Поэтому, когда я вижу, что у человека проблемы с безопасностью в
сети, я всегда ему объясняю, что нужно обращать внимание на адресную
строку. Если там нет "замочка" и надписи "HTTPS", то лучше лишний раз не
вводить туда личные данные.