اضافه شدن بخش پشتیبانی HSTS‌ به دامنه Google.com

تیم امنیتی شرکت گوگل طی یک اطلاعیه اعلام کرد که بخش پشتیبانی HSTS را در تمامی محصولات این شرکت که در دامنه google.com فعالیت می‌کنند، به سرانجام رسانده است.

این خبر پس از آن اعلان رسمی شد که این شرکت طی ماه‌ها برنامه آزمایشی از درستی و وجود این بخش در تمامی محصولات از جمله رابط‌های برنامه‌نویسی نرم‌افزار و رابط‌های اصلی وب اطمینان یافت.

HSTS به معنی برقراری امنیت شدید انتقال برای HTTP بوده و یک پروتکل امنیت وب است که امروزه توسط تمامی مرورگرها و کارگزارهای وب از آن پشتیبانی می‌شود.

این فناوری به مدیران وبگاه‌ها اجازه می‌دهد تا از خدمات و کاربران خود در مقابل مشکلات HTTPS، حملات مرد میانی و سرقت کوکی‌ها برای اتصالات HTTPS محافظت می‌کند.

این پروتکل همچنین کاربران را از بازگشت به اتصال HTTPS به هنگام دسترسی به وبگاه گوگل با استفاده از HTTPS جلوگیری می‌کند و آن‌ها را در صورت امکان به سمت اتصالات HTTPS راهنمایی می‌کند.

علاوه بر این، این فناوری توسط بسیاری از کارشناسان این حوزه به عنوان بهترین روش برای محافظت اتصالات HTTPS در مقابل حملات رایج علیه بخش‌های SSL معرفی می‌شود که البته تاکنون آن‌طور که باید رایج نشده است.

یک شرکت رایانه‌ای و اینترنتی با نام Netcraft طی تحقیقاتی در این خصوص در مارس اعلام کرد که ۹۵ درصد کارگزارهای استفاده‌کننده از HTTPS موجود در اینترنت هنوز بخش پشتیبانی HSTS را نصب نکرده‌اند و یا در آن‌ها خطاهای تنظیماتی مشاهده می‌شود. در این موارد تاکنون تیم امنیتی گوگل زمان زیادی را صرف آزمایش این بخش کرده است.

جی براون، مدیر برنامه تخصصی شرکت گوگل در این خصوص در روز جمعه اذعان کرد: «استفاده و اجرای بخش پشتیبانی HSTS یک فرآیند اصولی و اساسی است. در عین حال، به دلیل اینکه برخی پیچیدگی‌ها در ساختارهای شرکت گوگل مشاهده می‌شود، نیاز به این است که برخی برنامه‌های آمادگی در این خصوص انجام شود و این در حالی است که بسیاری از دامنه‌های اینترنتی موجود این نیاز را نمی‌بینند. برای مثال، برخی مشکلات موجود برای کاربران به هنگام مراجعه آن‌ها به دامنه اصلی رخ می‌دهند که همواره باید رفع شوند. محتوای در هم ریخته شده، مراجع ابرمتن مخرب ، بازگشت‌های ناخواسته به HTTP و دیگر مشکلات موجود، از این گونه موارد هستند.»

براون همچنین اعلام کرد که در آزمایش‌های HSTS، تیم امنیتی گوگل توانست در دسامبر گذشته بخش Santa Tracker گوگل را تجزیه کند. مشکل موجود در این بخش توسط این تیم رفع شد، اما این مسئله نشان می‌دهد که بخش‌ها و محصولات زیادی وجود دارند که مهندسان این شرکت پس از اجرای بخش پشتیبانی HSTS باید از صحت و درستی کار آن‌ها اطمینان حاصل کنند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.