Internet Explorer odrabia straty: od dziś wspiera HSTS, nawet na Windows 7

Ostatnie aktualizacje Microsoftu są ważniejsze, niż moglibyśmy się spodziewać. Wśród standardowych poprawek i łat znajduje się jedna, która zwiększa bezpieczeństwo użytkowników korzystających z przeglądarki Internet Explorer. Właśnie zyskała ona wsparcie dla HTTP Strict Transport Security i dogoniła pod tym względem konkurencję.

Internet Explorer odrabia straty: od dziś wspiera HSTS, nawet na Windows 7
Redakcja

10.06.2015 11:24

W celu ochrony danych wprowadzanych przez użytkownika i wysyłanych mu przez strony internetowe stosuje się połączenia szyfrowane. Tutaj pojawia się jednak pewien problem: użytkownik może przecież spróbować odwiedzić stronę w wersji nieszyfrowanej, korzystając z protokołu HTTP. Dopiero pierwsza odpowiedź serwera pozwala przekierować go na wersję HTTPS, otwiera to jednak drogę do ataków typu Man-in-the-Middle. Atakujący może bowiem przechwytywać ruch od klienta i serwera i wysyłać go w takiej formie, jaka jest oczekiwana. Aby tego uniknąć, stosuje się właśnie mechanizm HTTP Strict Transport Security.

Rozwiązanie to polega na tym, iż serwer wysyła do przeglądarki użytkownika dodatkowy nagłówek Strict-Transport-Security. W nim jest podawany parametr max-age, który określa, przez jaki czas przeglądarka ma łączyć się z użyciem jedynie szyfrowanych połączeń. Po odebraniu tego typu zawiadomienia aplikacja wie, że wszystkie kolejne połączenia z danym serwisem (a opcjonalnie także jego subdomenami), powinny być realizowane za pomocą połączeń szyfrowanych. W efekcie nie ma już mowy o ewentualnej pomyłce lub niedopatrzeniu użytkownika, adres zostanie zamieniony automatycznie. Wystarczy więc pojedyncze udane skorzystanie z wersji HTTPS, aby wszystkie następne były realizowane bezpiecznym kanałem, o ile oczywiście użytkownik nie wyczyści danych tymczasowych i nie przeinstaluje przeglądarki. Oczywiście nie rozwiązuje to wszystkich problemów.

Zasada działania HSTS. Źródło: citrix.com
Zasada działania HSTS. Źródło: citrix.com

Nawet przy zastosowaniu HSTS pierwsze połączenie jest podatne na atak – nie wiemy przecież, czy nie jesteśmy ofiarą ataku MitM. Także i tutaj wymyślono sposób na poprawę bezpieczeństwa i jest nim dodatkowy parametr preload. Zawiadamia on twórców przeglądarek o tym, aby dopisali daną witrynę do bazy tych, które wykorzystują szyfrowanie i w przypadku których przeglądarka powinna automatycznie przełączyć się na HTTPS. Można go dodać do nagłówków wysyłanych z serwera, można również zgłosić stronę na specjalnej witrynie. Po zgłoszeniu zostanie ona sprawdzona, a następnie dodana do list zawartych w przeglądarkach, co powinno zwiększyć bezpieczeństwo przeglądających.

Microsoft wraz z aktualizacją KB 3058515 dodał obsługę HTST w Internet Explorerze 11 w wersjach dla systemu Windows 8.1, ale również Windows 7. Zmiana jest zupełnie transparentna dla użytkowników, ma jednak istotny wpływ na ich ochronę, tym bardziej że IE 11 korzysta z list preload projektu Chromium. Dodanie wsparcia dla Windows 7 jest nieco zaskakujące – korporacja nie była w stanie zaoferować obsługi protokołu SPDY w Internet Explorerze dla tego systemu (wsparcie trafiło tylko do Windows 8.1), pod względem bezpieczeństwa sytuacja wygląda jednak znacznie lepiej. Firma zapewne zdaje sobie sprawę z tego, że nie każde przedsiębiorstwo zdecyduje się na migrację do nowego systemu Windows 10. Dodajmy natomiast, że nowa przeglądarka Edge wspiera już HTST.

Pomimo ogromnych zasobów, Microsoft bardzo późno zdecydował się na wprowadzenie obsługi HTTP Strict Transport Security do swojej przeglądarki. Dla porównania Google Chrome wspiera ten mechanizm już od wersji 4.0, podobnie jak Mozilla Firefox. Z zalet HSTS korzystać mogli i nadal mogą nawet użytkownicy starzejącej się Opery 12, a także Safari na OS X Mavericks, który zadebiutował jeszcze w 2013 roku. Najważniejsze, że firma nareszcie odrobiła tę poważną stratę i zaoferowała rozszerzoną ochronę nie tylko posiadaczom najnowszych systemów, ale również starszego, ale zdecydowanie najpopularniejszego Windows 7.

Programy

Zobacz więcej
Wybrane dla Ciebie
Komentarze (17)