Secur1ty just lik3 a girl. B0th of th3m h4ve s0me h0les. Y0u alw4ys try to f1nd the h0le, but n0t 3very tim3 y0u c4n 3xpl0it it!
查看文章 |
ForceHTTPS 的标准
2009-09-25 14:10
前两天harry跟我讲paypal正在推动一个东西,增加一个http的header,标记某个网站只能由https访问,不能由http访问。 今天度假回来一看,已经出来了 http://lists.w3.org/Archives/Public/www-archive/2009Sep/att-0051/draft-hodges-strict-transport-sec-05.plain.html#strict-transport-security-http-response-header-field paypal 推动的邮件在这里: http://www.webappsec.org/lists/websecurity/archive/2009-09/msg00060.html 目前noscript里已经增加了对此的支持,chrome的支持好像也出来了。 实现上,服务器端response增加一个头 The ABNF [RFC2616] syntax for the Strict-Transport-Security =
includeSubDomains is a flag which, if present, signals to the UA that the STS Policy applies to this STS Server as well as any subdomains of the server's FQDN.支持这个功能的客户端就知道这个站点只允许https访问了。任何http的访问都会被转到https下 这个功能对安全要求高的站点,比如银行和支付类网站来说,是非常有意义的 因为之前很多针对https的攻击就是在同域下https的页面里混淆了http的请求,造成一种类似 mixed content 的攻击 (可以参考 blackhat2009 里 alex androv 那篇文章),从而造成一些威胁。使用了这个http头之后,就可以杜绝此类攻击了。当然要浏览器支持才行。 刚从泰国度假归来,事情比较多,我会尽快把游记补上来,哈哈,云舒说的对,我肯定会写游记的! |
最近读者:
