"Microsoft moet HSTS aan IE9 toevoegen"
Zowel Microsoft Internet Explorer 9 als Apple Safari ondersteunen geen HTTP Strict Transport Security (HSTS), wat internetgebruikers onnodig risico laat lopen. HSTS zorgt ervoor dat websites die via HTTPS te bezoeken zijn, ook alleen via HTTPS worden bezocht, ook al wordt er HTTP in de adresbalk ingevoerd. De browser vangt in dit geval de opdracht van de gebruiker af en verandert die automatisch in een verzoek voor HTTPS. Zodoende wordt er geen informatie over het onbeveiligde HTTP verstuurd.
Voorstel
Daarnaast zorgt HSTS ervoor dat gebruikers certificaatwaarschuwingen, bijvoorbeeld in het geval van een man-in-the-middle-aanval, niet meer kunnen negeren. Websites kunnen dit instellen, om zo hun klanten of gebruikers te beschermen. Teveel gebruikers hebben de neiging om allerlei waarschuwingen te negeren of weg te klikken, zegt Chester Wisniewski van Sophos.
Hij merkt op dat HSTS nog geen volwaardige standaard is. Toch hoopt hij dat Microsoft en Apple het voorstel zo snel als mogelijk zullen implementeren, zodat bijna alle internetgebruikers hierdoor beschermd zijn. Firefox 4 en Google Chrome ondersteunen HSTS al.
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
Als alle websites nu even dit in hun .htaccess zetten...
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
Als alle websites nu even dit in hun .htaccess zetten...
Waarbij je er even bijzonder simpel vanuit gaat dat iedereen op Apache of Tomcat host?
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
Als alle websites nu even dit in hun .htaccess zetten...
Hiermee redirect je een user -via- een -onbeveiligde- HTTP verbinding naar een beveiligd HTTPS verbinding.
Een nietsvermoedende gebruiker kan dus ook geredirect worden van http://www.abnamro.nl/ naar https://www.abmanro.nl/
Als ik HSTS uit het artikel goed begrijp doet de browser dit voor de gebruiker.
Jammer genoeg zijn er nogal wat opstakels...
Het meest onhandige probleem daarbij is dat vanwege stomme Windows XP van Microsoft in we nog steeds voor iedere website met HTTPS een eigen IP-adres moeten gebruiken. Dat maakt het heel bewerkelijk voor hostingorganisaties (meer IP-adressen, andere firewall instellingen, extra webserver instelling, etc. etc.) en dus duurder voor de klant.
Er is een protocol extensie voor HTTPS 'SNI' (Server Name indication) dat het mogelijk maakt om meerdere websites op 1 IP-adres te gebruiken, net als bij 'namebased virtual hosting'. Maar ja, in de systeem library van Windows XP zit daar geen support voor in en dus werkt dat niet met IE en Safari op Windows XP (andere browsers gebruiken hun 'eigen' library). Geen enkele update of service pack in al deze jaren heeft dat gefixed.
Ook bij Google (of wie dan ook) is iemand zo stom geweest om alle versies van voor Honeycomb (de versie die rond deze tijd uit komt) ook niet te voorzien met SNI.
Dus voordat beide systemen 'dood' zijn, kan niemand 'namebased virtual hosting' gebruiken voor HTTPS en dan gebeurt het echt NIET dat alle websites HTTPS gaan gebruiken.
En als iemand nog wil aanhalen dat HTTPS-certificaten bij CA's geld kosten die kent gewoon StartSSL niet.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
