 |
| Hsts | Foto : Ubidate |
Ubidate.com - HTTP Strict Transport Security (HSTS) adalah mekanisme kebijakan keamanan web yang memungkinkan situs web menyatakan dirinya hanya dapat diakses melalui koneksi aman. Ini membantu melindungi situs web dan pengguna dari penurunan versi protokol dan serangan pembajakan cookie.
Mengapa HSTS Diperkenalkan?
Artikel terbaru ini akan berbagi tentang beberapa hal yang dimaksud dengan HTTP Strict Transport Security (HSTS). HTTP digunakan berbagai transportasi, biasanya Transmission Control Protocol (TCP). TCP tidak memberikan perlindungan integritas, kerahasiaan, atau identifikasi host yang aman. Hal ini menyebabkan pengembangan Secure Sockets Layer (SSL) dan penerusnya Transport Layer Security (TLS). SSL/TLS menyediakan lapisan enkripsi antara protokol aplikasi dan TCP, dikenal sebagai HTTPS.
Agen pengguna (seperti browser web) akan menggunakan berbagai kebijakan keamanan lokal untuk memutuskan cara berinteraksi dengan host, berdasarkan negosiasi antara server, preferensi pengguna, dan metode komunikasi mereka (HTTP atau HTTPS). Namun, beberapa agen pengguna mengizinkan pengguna untuk memilih untuk terus berinteraksi dengan situs web saat mereka tidak dapat membuat koneksi yang aman. Ini bisa terjadi saat rantai kepercayaan sertifikat TLS tidak divalidasi.
Pengupasan SSL
Karena HSTS mengizinkan situs web untuk menyatakan bahwa mereka hanya dapat diakses melalui koneksi aman, mereka dapat mencegah pengguna terhubung ke mereka melalui koneksi HTTP apa pun. Ini mencegah kerentanan keamanan yang dikenal sebagai SSL stripping. SSL-stripping adalah serangan downgrade. Serangan downgrade adalah serangan kriptografi pada sistem komputer atau dalam hal ini.
Protokol komunikasi yang membuatnya meninggalkan koneksi terenkripsi (HTTPS) demi koneksi yang lama dan tidak terenkripsi (HTTP) yang biasanya disediakan untuk kompatibilitas mundur dengan sistem yang lebih tua. SSL-stripping diimplementasikan sebagai dari serangan man in the middle di mana lalu lintas web dicegat dan dialihkan dari versi HTTPS situs yang aman ke versi HTTP yang tidak terenkripsi.
Alasan utama serangan ini terus berhasil adalah karena banyak situs web terus tidak menggunakan sertifikat TLS/SSL. Hal ini membuat tidak mungkin untuk mengetahui (tanpa sepengetahuan sebelumnya) apakah kurangnya HTTPS situs web disebabkan oleh serangan stripping SSL.
Seperti apa Hal yang Dimaksud HTTP Strict Transport Security (HSTS)?
Ataupun karena mereka tidak memiliki sertifikat TLS. Selain itu, tidak ada peringatan untuk memperingatkan pengguna selama proses penurunan versi, membuat serangan sulit dideteksi bahkan oleh pengguna yang paling waspada sekalipun. Dengan dibuatnya alat oleh Marlinspike untuk sepenuhnya mengotomatisasi jenis serangan ini, ini merupakan risiko keamanan siber yang nyata.
Pembajakan Sesi
Pembajakan sesi atau pembajakan cookie adalah kerentanan lain yang diaktifkan melalui ketidakamanan klik-tayang. Pembajakan sesi mengeksploitasi sesi komputer yang valid untuk m⁷endapatkan akses tidak sah ke informasi atau layanan. Ini relevan untuk pengembang web karena cookie digunakan untuk mempertahankan sesi di banyak situs web. Jika situs web tidak menandai cookie mereka sebagai Aman.
Memberi tahu agen pengguna untuk hanya mengirim cookie melalui HTTPS, cookie dapat dengan mudah dicuri oleh penyerang. Karena cookie yang tidak Aman dikembalikan ke host terlepas dari keamanan transportasi, membiarkannya terbuka untuk serangan man-in-the-middle. Setelah penyerang memiliki akses ke cookie, mereka kemudian dapat menyamar sebagai pengguna di situs web yang sah.
Bagaimana Cara Kerja HSTS?
HSTS memungkinkan server web untuk menyatakan bahwa interaksi apa pun oleh browser web dan agen pengguna lainnya harus dilakukan melalui koneksi HTTPS dan bukan koneksi HTTP yang tidak aman. Server dapat menerapkan Kebijakan HSTS dengan menyediakan header respons melalui koneksi HTTPS (header HSTS yang dikirim melalui header respons HTTP diabaikan).
Seperti yang dilansir slot, Header HSTS adalah nama "Strict-Transport-Security dan juga menentukan periode waktu di mana agen pengguna hanya boleh mengakses layanan melalui permintaan HTTPS. Ini pertama kali sebuah situs diakses menggunakan HTTPS, ia mengembalikan HSTS, browser mencatat ini, sehingga di masa mendatang untuk memuat situs menggunakan HTTP secara otomatis menggunakan HTTPS.
Ketika waktu kedaluwarsa yang ditentukan oleh header Strict-Transport-Security berlalu, upaya berikutnya untuk memuat situs melalui HTTP akan berjalan seperti biasa, bukan secara otomatis menggunakan HTTPS. Namun, setiap kali tajuk Ketat-Transportasi-Keamanan dikirimkan ke agen pengguna, itu akan memperbarui waktu kedaluwarsa untuk situs tersebut.
Sehingga situs dapat menyegarkan informasi ini dan mencegah batas waktu kedaluwarsa. Jika diperlukan untuk menonaktifkan HSTS, server web dapat mengatur usia maksimal ke 0 (melalui koneksi HTTPS) untuk segera mengakhiri header HSTS, memungkinkan akses melalui permintaan HTTP.
Misalnya, server dapat mengirim tajuk yang meminta agar permintaan di masa mendatang untuk tahun depan hanya menggunakan HTTPS melalui Strict Transport Security: max-age=31536000. Itulah ulasan tentang hal yang dimaksud dengan HTTP Strict Transport Security (HSTS). Semoga bermanfaat.
, Perlindungan Terhadap SSL Stripping dan Pembajakan Sesi){kind=link}