اخبار داخلی آرمان داده پویان

مقالات

HSTS چیست و چرا باید از آن استفاده کنیم؟ (قسمت دوم)

HSTS چیست و چرا باید از آن استفاده کنیم؟

قسمت دوم

این مطلب مناسب برای تمام افرادی است که به امنیت برنامه‌های کاربردی وب بنیان (وب اپلیکیشن)  و تست نفوذ وب اپلیکیشن علاقمند هستند. در بخش مقالات آموزشی آرمان داده پویان موضوعات مختلفی در حوزه امنیت وب کار شده است. انواع حملات امنیتی وب، سرآیندهای امنیتی HTTP، بررسی پروتکل HTTP از دیدگاه امنیت و غیره نمونه‌هایی از مطالب پوشش داده شده در وب سایت آرمان داده پویان می‌باشند. در این مطلب مبحث HTTP Strict Transport Security را ادامه خواهیم داد.

نحوه اضافه کردن یک دامنه به فهرست Preload

در قسمت اول، سایت https://hstspreload.org/  را به شما معرفی کردیم که در آن می‌توانید فعال بودن HSTS را بر روی سایت مورد نظرتان بررسی کنید. حال در این قسمت میخواهیم به شما آموزش دهیم که چطور یک دامنه را به فهرست این سایت می‌توان اضافه کرد. برای اضافه کردن دامنه لازم است تا سایت‌هایی که از این دامنه استفاده می‌کنند ویژگی‌های زیر را داشته باشند:

  • سایت‎های شما گواهی‌نامه‌های معتبر و cipherهای به روز داشته باشند.
  • اگر این سایت‌ها از طریق http در دسترس هستند تمامی درخواست‌ها به https تغییر مسیر داده شوند.
  • هر دو مورد بالا بایستی در مورد تمام دامنه‌ها و زیر دامنه‌ها صادق باشد (بر مبنای رکوردهای DNS)
  • سرآیند strict-Transport-security را مطابق با این نمونه پیکربندی نمایید. زمان max-age را هم حداقل ۳۱۵۳۶۰۰۰ یعنی یک سال قرار دهید.
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
  • بعد از آن به hstspreload رفته و دامنه خود را در آن ثبت کنید. اگر تمامی موارد گفته شده را رعایت کرده باشید دامنه شما به زودی اضافه خواهد شد.

خب این کار در سمت وب سرور بود، حال باید روندی که در سمت کاربر اتفاق می‌افتد را بررسی نماییم. به دلیل مسائل امنیتی این فهرست توسط مرورگر بارگذاری نمی‌گردد بلکه در هر بروزرسانی آن به صورت hard-code به نسخه جدید مرورگر اضافه می‌شود. پس اگر سایتی اضافه شده باشد و یا کم شده باشد، تا برورزرسانی بعدی مرورگر در سمت کاربر اتفاقی نمی‌افتد. در نتیجه به درست و کامل انجام شدن موارد گفته شده در بالا دقت فرمایید تا این مدت زمان را افزایش ندهید. همچنین قبل از اقدام به افزودن HSTS به سایت مطمئن شوید که تمامی منابع موجود از طریق HTTPS برای مدت زمانی که در max-age در سرآیند HSTS اضافه کردید قابل دسترسی هستند زیرا در غیر این صورت سایت شما کاملا از دسترس خارج خواهد شد.

چگونه یک دامنه را از کش HSTS در مرورگر پاک کنیم؟

اگر HSTS را نادرست پیکربندی کرده باشید، دسترسی شما به آن سایت بسته خواهد شد تا زمانی که آن داده‌ها را از مرورگر پاک نمایید. در ادامه نحوه پاک کردن HSTS را از کش HSTS مرورگرهای مختلف را آموزش خواهیم داد. اما اگر می‌خواهید با پاک کردن کش HSTS بتوانید دسترسی HTTP به سایتی که در فهرست https://hstspreload.org/ ثبت شده است، بیابید در حال تلاش بیهوده و بی ثمری هستید.

گوگل کروم

برای پاک کردن کش HSTS کروم مراحل زیر را طی کنید:

  • به chrome://net-internals/#hsts بروید
  • در قسمت Delete domain security policies section نام دامنه مورد نظرتان را وارد کنید
  • سپس Delete را انتخاب کنید

در مرحله بعد برای آنکه ببینید عملیات موفقیت آمیز بوده است نام دامنه را در این قسمت وارد کنید و بعد از زدن دکمه Query مطمئن شوید که دامنه پاک شده است.

موزیلا فایرفاکس

روش‌های مختلفی برای پاک کردن اطلاعات HSTS از فایرفاکس وجود دارد. ما در اینجا به شما آسان‌ترین و سریع‌ترین راه را نشان می‌دهیم.

  • تمامی tabهای مربوط به آن سایت را ببندید
  • پنجره Firefox history را باز کنید
  • از قسمت نوار جست و جو دامنه مورد نظرتان را جست و جو کنید
  • کلیک راست کرده و دامنه مورد نظرتان را انتخاب کرده و گزینه Forget About This Site را انتخاب کنید

اپل سافاری

در مورد اپل سافاری، کار بسیار آسان است و مراحل انجام آن تنها سه مرحله کوتاه می‌باشد.

  • مرورگر را ببندید
  • این فایل را از home directory پاک کنید
  • حال دوباره مرورگر را باز کنید

مرورگرهای مایکروسافت

در مرورگرهای مایکروسافت نمی‌توانید کش HSTS را پاک کنید، تنها می‌توانید به صورت موقت آن را در اینترنت اکسپلورر ۱۱، ویندوز ۷ یا ویندوز ۸٫۱ خاموش کنید. دستوراالعمل کامل آن را می‌توانید در بخش پشتیبانی مایکروسافت مطالعه بفرمایید.

تعداد بازدید: 146


تازه ترین ها