HTTP Katı Taşıma Güvenliği: Revizyonlar arasındaki fark
[kontrol edilmemiş revizyon] | [kontrol edilmiş revizyon] |
İçerik silindi İçerik eklendi
wiki içinde bulunan konulara link verildi |
Gerekçe: + deneme amaçlı değişiklik |
||
1. satır:
{{teknik|tarih=Mart 2020}}
'''HTTP Katı Taşıma Güvenliği''' ('''HSTS'''), [[İnternet sitesi|web sitelerini]]
Sunucunun HSTS Politikası, yine sunucu tarafından HTTPS yanıt başlığındaki <code>Strict-Transport-Security</code> alanı ile web tarayıcısına iletilir.<ref name="mdn-security"/> HSTS politikası, tarayıcının sunucuya HTTPS kullanarak erişmesi gereken süreyi belirtir. HSTS kullanan web siteleri, HTTP üzerinden gelen bağlantıları reddederek veya kullanıcıları sistematik olarak HTTPS'ye yönlendirerek açık metin HTTP'yi kabul etmez (ancak bunun spesifikasyonda zorunlu olmadığı belirtilmiştir). Bunun sonucunda, TLS/SSL yapamayan web tarayıcısı bu siteye bağlanamayacaktır.
== Spesifikasyon geçmişi ==
HSTS spesifikasyonu, 2 Ekim 2012 tarihinde [[:en:Internet Engineering Steering Group|IESG]] tarafından
"Topluluk sürümü" olarak adlandırılan spesifikasyon, topluluk geri bildirimlerini temel alan revizyonlarla daha sonra "STS" adını alarak 18 Aralık 2009 tarihinde yayımlandı.<ref name="STS-draft-spec-2">{{Web kaynağı | url = //lists.w3.org/Archives/Public/www-archive/2009Dec/att-0048/draft-hodges-strict-transport-sec-06.plain.html | başlık = Strict Transport Security -06 | erişimtarihi = 23 Aralık 2009 | tarih = 18 Aralık 2009 | arşivurl = https://web.archive.org/web/20170221200316/http://lists.w3.org/Archives/Public/www-archive/2009Dec/att-0048/draft-hodges-strict-transport-sec-06.plain.html | arşivtarihi = 21 Şubat 2017 | ölüurl = no }}</ref>
26. satır:
== Uygulanabilirlik ==
HSTS'nin giderebileceği en önemli güvenlik açığı,
HSTS, siteye olan bağlantıların her zaman TLS/SSL kullanması gerektiğini tarayıcıya bildirerek bu sorunu<ref name="hsts-threats-addressed"/> giderir. HSTS başlığı, kullanıcının ilk ziyaretiyse saldırgan tarafından çıkarılabilir. [[Google Chrome]], [[Mozilla Firefox]], [[Internet Explorer]] ve [[Microsoft Edge]], HSTS sitelerinin "önyüklü" bir listesini ekleyerek bu sorunu sınırlamaya çalışır.<ref name="preloading_hsts_chromium">{{Web kaynağı | url = https://www.chromium.org/sts | başlık = Strict Transport Security | erişimtarihi = 22 Temmuz 2010 | tarih = 8 Temmuz 2010 | çalışma = The Chromium Projects | arşivurl = https://web.archive.org/web/20190901122419/http://www.chromium.org/sts | arşivtarihi = 1 Eylül 2019 | ölüurl = no }}</ref><ref name="preloading_hsts_mozillla">{{Web kaynağı | url = https://blog.mozilla.org/security/2012/11/01/preloading-hsts/ | başlık = Preloading HSTS | erişimtarihi = 6 Şubat 2014 | tarih = 1 Kasım 2012 | çalışma = Mozilla Security Blog | arşivurl = https://web.archive.org/web/20200224205730/https://blog.mozilla.org/security/2012/11/01/preloading-hsts/ | arşivtarihi = 24 Şubat 2020 | ölüurl = no }}</ref><ref name="iepreload">{{Web kaynağı | url = http://blogs.msdn.com/b/ie/archive/2015/02/16/http-strict-transport-security-comes-to-internet-explorer.aspx | başlık = HTTP Strict Transport Security comes to Internet Explorer | erişimtarihi = 16 Şubat 2015 | tarih = 16 Şubat 2015 | arşivurl = https://web.archive.org/web/20151115035120/http://blogs.msdn.com/b/ie/archive/2015/02/16/http-strict-transport-security-comes-to-internet-explorer.aspx | arşivtarihi = 15 Kasım 2015 | ölüurl = no }}</ref> Ne yazık ki bu çözüm internetteki tüm web sitelerini içerecek şekilde ölçeklendirilemez. Aşağıdaki sınırlamaları inceleyiniz.
HSTS ayrıca
HSTS zaman sınırlı olduğu için, mağdurun bilgisayar saatini değiştirmek gibi saldırılara karşı hassastır. Buna örnek olarak düzenlenmiş [[Network Time Protocol|NTP]] paketleri kullanmak verilebilir.<ref>{{Web kaynağı | url = https://www.blackhat.com/docs/eu-14/materials/eu-14-Selvi-Bypassing-HTTP-Strict-Transport-Security.pdf | başlık = Bypassing HTTP Strict Transport Security | erişimtarihi = 22 Ekim 2014 | tarih = 17 Ekim 2014 | arşivurl = https://web.archive.org/web/20141022112001/https://www.blackhat.com/docs/eu-14/materials/eu-14-Selvi-Bypassing-HTTP-Strict-Transport-Security.pdf | arşivtarihi = 22 Ekim 2014 | ölüurl = no }}</ref>
== Sınırlamalar ==
Web sunucusuna gönderilen ilk istek için düz HTTP gibi güvenli olmayan bir protokol veya
Junade Ali, HSTS'nin sahte alan kullanımlarına karşı etkisiz olduğuna dikkat çekmiş; DNS tabanlı saldırılar kullanarak, MITM gerçekleştiren saldırganın önyüklü HSTS listesinde olmayan sahte bir alandan trafik sunmasının mümkün olduğunu,<ref name="auto">{{Web kaynağı | url = https://blog.cloudflare.com/performing-preventing-ssl-stripping-a-plain-english-primer/ | başlık = Performing & Preventing SSL Stripping: A Plain-English Primer | tarih = 20 Ekim 2017 | çalışma = Cloudflare Blog | arşivurl = https://web.archive.org/web/20191214182725/https://blog.cloudflare.com/performing-preventing-ssl-stripping-a-plain-english-primer/ | arşivtarihi = 14 Aralık 2019 | erişimtarihi = 17 Mart 2020 | ölüurl = no }}</ref> bunun [[DNS spoofing|DNS Spoofing]] Saldırıları<ref>{{Kitap kaynağı|isbn=978-1-5386-1593-5}}</ref> veya <code>''www.example.org''</code> yerine <code>''www.example.com''</code> gibi gerçek alan adını andıran yanıltıcı basit bir alan adı ile de gerçekleşebileceğini dile getirmiştir.
"Önyüklü HSTS listesi" ile bile HSTS, Juliano Rizzo ve Thai Duong'un getirdiği TLS'e yönelik gerçekleşen [[
HSTS güvenlik hususlarının detaylı incelemeleri için RFC 6797'ye bakınız.
=== Gizlilik sorunları ===
HSTS, tarayıcı "
== Tarayıcı desteği ==
|