Internet Explorer 11 op Windows 7 en 8.1 zijn van een beveiligingsmaatregel voorzien die volgens Microsoft gebruikers tegen verschillende soorten man-in-the-middle-aanvallen moet beschermen. Het gaat om HTTP Strict Transport Security (HSTS), dat ook in Windows 10 aanwezig zal zijn.
HSTS zorgt ervoor dat websites die via HTTPS te bezoeken zijn alleen via HTTPS worden bezocht, ook al wordt er HTTP in de adresbalk ingevoerd. De browser vangt in dit geval de opdracht van de gebruiker af en verandert die automatisch in HTTPS. Zodoende wordt er geen informatie over het onbeveiligde HTTP verstuurd. Volgens Microsoft moet dit gebruikers tegen man-in-the-middle-aanvallen beschermen waarbij TLS uit de communicatie met een server wordt verwijderd, waardoor de gebruiker kwetsbaar is.
Met de IE-update van deze maand (KB 3058515) beschikt IE11 nu ook over HSTS. Het is vervolgens aan websites om HSTS te implementeren. Iets dat ontwikkelaars kunnen doen door zich in te schrijven voor een "HSTS preloadlijst" die Microsoft Edge, Internet Explorer en andere browsers gebruiken, om zo het HTTP-verkeer naar HTTPS door te sturen. De lijst die Microsoft gebruikt is op de lijst van Chromium gebaseerd. Websites die niet op deze lijst staan kunnen HSTS via de Strict-Transport-Security HTTP header inschakelen.
Na een eerdere HTTPS-verbinding van de browser die de HSTS-header bevat, zullen alle volgende HTTP-verbindingen via HTTPS lopen. Microsoft merkt op dat gemengde content niet wordt ondersteund op servers die HSTS ondersteunen. Gemengde content, waarbij er bijvoorbeeld afbeeldingen en advertenties via HTTP op een HTTPS-site worden geladen, zullen altijd worden geblokkeerd. De gebruiker krijgt vervolgens via de informatiebalk een melding of hij de gemengede content wil laden.
Deze posting is gelocked. Reageren is niet meer mogelijk.