抵御中間人攻擊：Win7自帶IE瀏覽器將支持HSTS

Win7之家（ www.afsion.com.cn）：抵御中間人攻擊：Win7自帶IE瀏覽器將支持HSTS

IT之家訊 2月17日消息，微軟今天宣布在IE瀏覽器中支持HTTP Strict Transport Security（HSTS），并且今后也將在Win10斯巴達瀏覽器中對此進行支持。

HTTP Strict Transport Security，HTTP強制安全傳輸用來確保終端用戶只有在使用安全的HTTPS連接時才能與服務(wù)器連接。在瀏覽器向服務(wù)器發(fā)送請求時，每接收一個標(biāo)題就添加一個標(biāo)志，這樣HSTS就能確保接下來與網(wǎng)站的連接都經(jīng)過一種廣泛使用的HTTPS協(xié)議的加密。由于之后的所有連接都要被加密，HSTS能保護用戶不受降級攻擊，也就是黑客將已加密的連接再轉(zhuǎn)換回純文本HTTP。由于傳輸過程已經(jīng)加密，因此它可以防范中間人攻擊，降低信息泄露的風(fēng)險。

HSTS可以用來抵御SSL剝離攻擊。SSL剝離攻擊是中間人攻擊的一種，由Moxie Marlinspike于2009年發(fā)明。他在當(dāng)年的黑帽大會上發(fā)表的題為“New Tricks For Defeating SSL In Practice”的演講中將這種攻擊方式公開。SSL剝離的實施方法是阻止瀏覽器與服務(wù)器創(chuàng)建HTTPS連接。它的前提是用戶很少直接在地址欄輸入https://，用戶總是通過點擊鏈接或3xx重定向，從HTTP頁面進入HTTPS頁面。所以攻擊者可以在用戶訪問HTTP頁面時替換所有https://開頭的鏈接為http://，達到阻止HTTPS的目的。

HSTS可以很大程度上解決SSL剝離攻擊，因為只要瀏覽器曾經(jīng)與服務(wù)器創(chuàng)建過一次安全連接，之后瀏覽器會強制使用HTTPS，即使鏈接被換成了HTTP。

另外，如果中間人使用自己的自簽名證書來進行攻擊，瀏覽器會給出警告，但是許多用戶會忽略警告。HSTS解決了這一問題，一旦服務(wù)器發(fā)送了HSTS字段，用戶將不再允許忽略警告。（Source：Microsoft News）

關(guān)注Windows10，鎖定Win10之家（http://win10.ithome.com）