BACK
Somebody from Pitesti
requested a consultation
X
X
Scris de Marius Chiriac 28.05.2021

Ce este si cum sa folosesti HSTS

Blog/website-development

HTTP Stric Transport Security sau pe scurt HSTS este o metoda prin care un site ce foloseste HTTPS sa fie fortat sa foloseasca conexiuni securizate. Este un best practice pentru website-urile wordpress (si orice alt website ce foloseste HTTPS in general) care sporeste securitatea blocand atacurile de tipul “man-in-the-middle” ce pot fura datele transmise pe internet cand nu sunt encriptate.

HSTS este un header de securitate care rezolva urmatoarele probleme:
– redirectioneaza automat catre versiunea HTTPS a site-ului tau orice incercare a unui vizitator de accesare prin HTTP
– previne suprascierea mesajelor de certificat invalid lucru care protejeaza vizitatorii
– previne furarea de cookieuri care contin informatii private cand cineva foloseste conexiuni nesecurizate
– previne atacurile de tipul “man-in-the-middle”, care se folosesc de faptul ca datele sunt transmise nesecurizat prin HTTP, interceptand si modificand aceste informatii

Implementarea de HSTS la website-ul tau se poate face in urmatorul mod:

1. Pentru server Apache se va adauga urmatoarea linie de cod in fisierul tau de virtual hosts:

Header always set Strict-Transport-Security max-age=31536000

2. Pentru server NGINX se va adauga urmatoarea linie de cod in config:

add_header Strict-Transport-Security max-age=31536000

Exista posibilitatea ca un site ce foloseste HTTPS si HSTS sa fie adaugat intr-o lista de “preload” (preincarcare) ce este adaugata direct in browser si este folosita pentru fortarea deschiderii site-ului prin HTTPS la nivel de browser. Cerintele pentru a intra in aceasta lista sunt mai stringente si le poti verifica pe hstspreload.org, dar trebuie sa fii absolut sigur ca doresti acest lucru pentru ca este foarte dificil sa fii scos de pe aceasta lista.

Se poate verifica daca este implementat corect HTST prin cateva metode simple. Una este sa folosesti Google Chrome Devtools intrand in tab-ul “Network” si sa verifici headerele pentru valoarea “strict-transport-security: max-age=31536000” sau sa folosesti un o aplicatie online ce poate scana site-ul tau precum securityheaders.io

Daca vrei securitate sporita, nu ezita sa activezi HSTS pe website-ul tau.

Mai multe articole

INOVEO a scris

Copacul vieții

Cum o adolescentă din Călărași a refuzat în secret Academia de Poliție, a demontat tot ce mișca în curtea bunicului, a ales Automatica, a scris cod și a ajuns să mă convingă, douăzeci de ani [...]

Read More... from Ce este si cum sa folosesti HSTS

Citeste tot articolul

INOVEO a scris

Directorul de marketing care a refuzat Academia de Politie si a castigat un rebranding

Diseara, 19:00, conversatia cu Cristina Rusen pe canalul YouTube INOVEO. Episodul Brand Talks 2.0 despre omul care alege intotdeauna varianta mai grea si are de fiecare data dreptate. Cristina Rusen avea 18 ani cand a [...]

Read More... from Ce este si cum sa folosesti HSTS

Citeste tot articolul

INOVEO a scris

Brandul arata diferit pentru hotel, o fabrica de tamplarie si un distribuitor de implanturi dentare. Iar asta e exact partea care conteaza.

Exista o iluzie care circula printre antreprenori: ca brandingul e cam acelasi lucru, oriunde l-ai aplica. Logo, paleta, tone of voice, gata. Realitatea, pe care o vedem la INOVEO in fiecare proiect, e exact pe [...]

Read More... from Ce este si cum sa folosesti HSTS

Citeste tot articolul

INOVEO a scris

Sase intrebari pe care orice antreprenor si le pune inainte de un workshop de brand. Iata ce raspund cei care au trecut deja prin proces.

Inainte de orice workshop de brand pe care il conduc, simt ca exista o framantare interna a antreprenorului. Una care, daca o asculti cu atentie, suna cam asa: „oare am cu adevarat nevoie de asta [...]

Read More... from Ce este si cum sa folosesti HSTS

Citeste tot articolul

Vezi toate articolele
INOVEO
Privacy Overview

This website uses cookies so that we can provide you with the best user experience possible. Cookie information is stored in your browser and performs functions such as recognising you when you return to our website and helping our team to understand which sections of the website you find most interesting and useful.