Vorige maand werd bekend dat Microsoft eindelijk HTTP Strict Transport Security (HSTS) aan Internet Explorer gaat toevoegen, wat gebruikers tegen Man-in-the-Middle-aanvallen moet beschermen. Nu heeft de softwaregigant meer details over de beveiligingsmaatregel gegeven.
HSTS zorgt ervoor dat websites die via HTTPS te bezoeken zijn alleen via HTTPS worden bezocht, ook al wordt er HTTP in de adresbalk ingevoerd. De browser vangt in dit geval de opdracht van de gebruiker af en verandert die automatisch in HTTPS. Zodoende wordt er geen informatie over het onbeveiligde HTTP verstuurd. HSTS biedt websites twee mogelijkheden om hun verbindingen met bezoekers te beveiligen.
De eerste optie is het registreren van de website op een lijst die door Internet Explorer en andere browsers wordt geladen, waarbij het HTTP-verkeer direct naar HTTPS wordt doorgezet. Hierbij maakt IE gebruik van de Chromium HSTS-lijst. Chromium is de opensourcebrowser waarop Google Chrome is gebaseerd. De tweede optie is het aanbieden van een HSTS-header. In dit geval zal de browser nadat die de website voor de eerste keer via HTTPS heeft bezocht, alle toekomstige HTTP-verbindingen via HTTPS laten lopen.
Microsoft waarschuwt dat HSTS twee belangrijke gevolgen voor gebruikers kan hebben. Als er namelijk een certificaatwaarschuwing verschijnt zal de gebruiker die niet kunnen negeren en moet hij de verbinding verbreken. Daarnaast wordt op HSTS-sites geen gemengde content ondersteund. Alle content moet via HTTPS worden aangeboden. Dit kan voor websites een probleem zijn waar bijvoorbeeld advertenties en afbeeldingen over HTTP worden geladen. De HSTS-feature is nu al in de Windows 10 Technical Preview te testen en zal later ook aan de Project Spartan-browser van het nieuwe besturingssysteem worden toegevoegd.
Deze posting is gelocked. Reageren is niet meer mogelijk.