95% van de https-servers is kwetsbaar voor eenvoudige man-in-the-middle-aanvallen, waardoor internetgebruikers naar phishingsites kunnen worden gelokt, zo stelt internetbedrijf Netcraft aan de hand van eigen onderzoek. Het probleem is dat de https-sites geen gebruik van hsts maken.
Hsts zorgt ervoor dat websites die via https te bezoeken zijn alleen via https worden bezocht, ook al wordt er http in de adresbalk ingevoerd. De browser vangt in dit geval de opdracht van de gebruiker af en verandert die automatisch in https. Zodoende wordt er geen informatie over het onbeveiligde http verstuurd, dat bijvoorbeeld door een aanvaller kan worden onderschept of gemanipuleerd. Via https kan een bezoeker de identiteit van de website controleren en weet dat zijn gegevens versleuteld worden uitgewisseld.
"Elke veilige website die geen hsts implementeert kan eenvoudig worden aangevallen door een http-verbinding ernaar te kapen. Dit is een zeer haalbare aanval, aangezien er veel manieren zijn waardoor een gebruiker onbedoeld via http in plaats van https verbinding maakt", zegt Paul Mutton van Netcraft. Ondanks het belang van hsts wordt het door slechts 5% van de https-sites toegepast.
Een oplettende gebruiker kan bij een dergelijke aanval opmerken dat hij op een http-site in plaats van een https-site zit. Desondanks is er volgens Mutton geen reden waarom https-sites geen hsts zouden implementeren. "Het is erg eenvoudig te doen en het heeft geen praktische nadelen als een website al geheel via https werkt. Dit maakt het nog verrassender dat veel banken geen hsts gebruiken, met name voor internetbankieren", stelt Mutton. Juist voor internetbankieren is hsts volgens hem belangrijk, aangezien het een belangrijk doelwit voor aanvallers is.
Deze posting is gelocked. Reageren is niet meer mogelijk.