Naar inhoud springen

HTTP Strict Transport Security

Uit Wikipedia, de vrije encyclopedie

HTTP Strict Transport Security (HSTS) is een beveiligingsmechanisme nodig om HTTPS-websites te beschermen tegen zogenaamde downgrade-aanvallen. Het vereenvoudigt ook de bescherming tegen cookie hijacking. Het laat toe dat webservers vereisen dat webbrowsers alleen beveiligde HTTPS-verbindingen kunnen gebruiken, en nooit het onveilige HTTP-protocol. HSTS is een standaard protocol van het IETF en werd vastgelegd in RFC 6797.[1]

Het HSTS-beleid[2] wordt door de server doorgegeven via een HTTP-responseheader-veld genaamd "Strict-Transport-Security". Het beleid legt een tijdsperiode vast gedurende welke de browser toegang krijgt.

Browserondersteuning

[bewerken | brontekst bewerken]
  1. RFC 6797
  2. Hodges, Jeff; Jackson, Collin; Barth, Adam, Section 5.2. HSTS Policy. RFC 6797. IETF (Nov 2012). Geraadpleegd op 21 november 2012.
  3. The Chromium Developers, Strict Transport Security - The Chromium Projects (17 november 2010). Geraadpleegd op 17 november 2010.
  4. Jeff Hodges, fyi: Strict Transport Security specification (18 september 2009). Geraadpleegd op 19 november 2009.
  5. HTTP Strict Transport Security. Mozilla. Geraadpleegd op 17 March 2011.
  6. Opera Software ASA, Web specifications support in Opera Presto 2.10 (23 april 2012). Geraadpleegd op 8 mei 2012.
  7. @agl__ (Adam Langley), Confirmed. See ~/Library/Cookies/HSTS.plist. Includes Chromium preloads as of some date and processes HSTS headers.. on Twitter. Gearchiveerd op 5 januari 2014. Geraadpleegd op 20 december 2013.
  8. Internet Explorer Web Platform Status and Roadmap. Gearchiveerd op 29 juni 2015. Geraadpleegd op 14 april 2014.
  9. Project Spartan and the Windows 10 January Preview Build - IEBlog. Geraadpleegd op 23 januari 2015.
[bewerken | brontekst bewerken]