Новое исследование компании Netcraft гласит, что 95% всех HTTPS-серверов в мире не используют механизм HSTS (HTTP Strict Transport Security) вообще, либо он настроен неправильно, из-за чего защищенный трафик открыт для самых разных атак. Механизм HSTS сегодня поддерживается всеми популярным браузерами (Internet Explorer 11, Microsoft Edge, Firefox, Chrome, Safari и Opera).
Он призван принудительно активировать защищенное соединение, с использованием протокола HTTPS, вместо HTTP. По сути, HSTS должен помочь администраторам сайтов предотвратить атаки типа man-in-the-middle, манипуляции с cookie и прочую вредоносную активность. Однако специалисты Netcraft пишут, что HSTS по-прежнему остается большой проблемой.
Только 5% из всех изученных ими HTTPS-серверов используют HSTS (и без ошибок в конфигурации). Интересно, что три года назад эксперты уже проводили аналогичный анализ, и с тех пор цифры практически не изменились. HSTS по назначению и без ошибок использует крайне малое количество администраторов, что, по мнению Netcraft, свидетельствует о том, что они либо все еще не знают о проблеме, либо им попросту все равно.
Исследователи, в числе прочего, описывают и простейший сценарий атаки (пытаясь объяснить, почему HSTS, это так важно): пользователю достаточно набрать в адресной строке браузера http://адрессайта. Хотя пользователи не так часто пишут http:// или https:// вручную, такое все же случается, а без поддержки HSTS, сайт действительно может открыться через HTTP, что может привести к самым печальным последствиям, и открыть возможности для ряда атак.
Конечно, многие ресурсы используют автоматическую переадресацию с HTTP на HTTPS, но, по мнению аналитиков Netcraft, это только делает их потенциальным целями для man-in-the-middle атак. Что особенно печально: по словам экспертов Netcraft, среди тех, кто неправильно использует механизм HSTS (или не использует его вовсе), немало банков и сайтов платежных систем.
А ведь для активации HSTS, достаточно просто прописать HTTP-хедер: Strict-Transport-Security: max-age=31536000;
Взято с xakep.ru