Ce este HSTS?

Ce este HSTS
Ce este HSTS – HTTP Strict Transport Security (HSTS), este un protocol de securitate care ne ajuta la protejarea datelor in mediul online. HSTS, forteaza browserele Web, sa foloseasca doar conexiuni HTTPS, pentru securizarea datelor. Serverele Web, nu sunt conectate direct intre ele si datele transmise trebuie sa treaca prin diverse routere de retea. Aceste routere, sunt situate intre servere si au acces complet la cererile trimise prin HTTP.

Datele trimise prin HTTP, sunt transferate ca text simplu, necriptate si routerele pot actiona ca un „man in the middle”, care pot citi sau chiar redirectiona datele respective. Un atac de tip „man in the middle”, (omul de la mijloc), este un atac destul de complicat in care atacatorul se interpune ca „unealta de tranzit”, intre două sisteme, respectiv server si router. Persoana care face transferul de date este convinsa ca datele transmise ajung la sursa insa in realitate, atacatorul controleaza toate datele si in general sunt urmarite tranzactiile financiare.

Lipsa implementarii HSTS, poate duce la preluarea datelor spre manipulate sau utilizatorul poate sa fie redirectionat catre pagini clonate, folosite de atacatori pentru a copia date personale, parole de logare in diverse conturi sau date despre carduri de credit. Politica HSTS forteaza toate raspunsurile sa treaca prin conexiuni HTTPS ( certificare SSL). Acest lucru ne asigura faptul ca intregul canal este criptat inainte ca datele sa fie trimise. Implementarea HSTS face imposibila modificarea datelor in tranzit de catre atacatori.

Trecerea de la http://, la conexiuni https://, (cu SSL), ofera cea mai buna aparare impotriva atacatorilor. HSTS, se asigura ca toate conexiunile sunt criptate si se foloseste doar https://. Implementarea HSTS, se poate face in mai multe moduri si sunt diferite in functie de serverul de hosting.

Implementarea HSTS, pentru Apache 2

Pentru implementarea codului HSTS, va trebui sa editam /etc/apache2/sites-enabled/website.conf si /etc/apache2/httpd.conf, unde vom adauga urmatorul cod in VirtualHost:

# Implementarea HSTS, pentru Apache 2
LoadModule headers_module modules/mod_headers.so

<VirtualHost 188.214.142.81:443>
    Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains;"
</VirtualHost>

Implementarea HSTS, in fisierul .htaccess

Puteti adauga codul de mai jos, direct in fisierul .htaccess:

# HSTS in .htaccess
<IfModule mod_headers.c>
Header set Strict-Transport-Security "max-age=10886400; includeSubDomains; preload"
</IfModule>

Daca folositi Lighttpd sau NGINX, ne puteti contacta si va vom ajuta in configurarea HSTS, pentru website-ul Dvs. Compania noastra este specializata in securitate Web si va garanteaza securitatea website-ului Dvs.

Cum testam daca HSTS, este activ?

Testele de validare HSTS, se pot face in doua moduri insa, noi suntem de parere ca o comanda data direct pe serverul Dvs., cu PUTTY, este mult mai sigura. Pentru testul cu PUTTY, va trebui sa ne logam pe server si sa dam urmatoarea comanda:

[root@profesional ~]# curl -s -D- https://infoseo.ro/ | grep -i Strict
# Vom primi urmatorul cod de validare daca HSTS, este activ
Strict-Transport-Security: max-age=10886400; includeSubDomains; preload

In cazul in care nu aveti acces pe server, puteti testa aici: https://www.ssllabs.com/ssltest/index.html. Dupa cateva teste la nivel de server, veti primi urmatorul raspuns (daca testul este valid):

Test HSTS

ARTICOLE RECOMANDATE

Optimizare SEO, pentru Mobile

  • Optimizare SEO, pentru Mobile – cu aproximativ un an in urma, Google a lansat noua unealta de testare a vitezei de incarcare in browser, a paginilor Web. Noua unealta (mai friendly), a fost creata pe principiul PageSpeed Insights, care ne ajuta si la ora actuala sa gasim punctele slabe din website-ul nostru. Mai nou, Google, […]

Descrierea ALT, la imagini

  • Descrierea ALT, la imagini – adaugarea unei imagini la o pagina, produs, sau serviciu prezentat, este obligatorie pentru orice model de website. Toate imaginile prezentate in website, trebuie sa contina obligatoriu o descriere alt. Tag-ul Alternative Text, arata motoarelor de cautare despre ce este vorba in imaginea respectiva si ne ajuta la promovarea paginii respective. […]

Raport Text/HTML

  • Ce este un raport Text/HTML? Orice model de website are o anumita cantitate de cod sursa (backend) si o anumita cantitate de text obisnuit in paginile care sunt vizibile vizitatorului (front-end). Raportul TEXT/HTML, se refera la cantitatea de text pe o anumita pagina web fata de codul HTML, de pe aceasi pagina. Rezolvarea acestor probleme […]

Ce este un sitemap, XML si HTML

  • Ce este un sitemap, XML si HTML – orice model de website SEO, ar trebui sa aiba in structura doua modele de sitemap, unul HTML, care sa poata fi studiat de catre vizitatori si un sitemap.xml, care este creat special pentru motoarele de cautare. Un sitemap, etse o harta a site-ului, in care se gasesc […]

Meta Tag-uri Facebook

  • Meta Tag-uri Facebook – Pana nu demult, meta tag-urile, au fost considerate foarte importante pentru un site web. Meta tag-urile ajuta paginile web sa urce in rezultatele organice ale motoarelor de cautare (daca acestea sunt folosite corect). La ora actuala, importanta meta tag-urilor a mai scazut si motivele sunt multiple insa, trebuiesc folosite. Din punctul […]

Scrieti in comentariu pe Info SEO?

Trebuie să fiți logat pentru a posta un comentariu.