HSTS torna-se norma da Internet

A tecnologia foi concebida para prevenir alguns tipos de ataques contra ligações HTTPS e está agora suficientemente madura, apesar de a adopção ser baixa.

Um mecanismo de política de segurança promete tornar os sites baseados em HTTPS mais resistentes a vários tipos de ataques e foi aprovado como norma para a Internet pelo Internet Engineering Task Force (IETF): o HTTP Strict Transport Security (HSTS) permite aos sites de declararem-se acessíveis apenas através de HTTPS (HTTP Secure) .

Foi projectado para impedir que hackers forcem as conexões dos utilizadores através de HTTP, ou tirem partido de erros nas implantações HTTPS, para comprometer a integridade do conteúdo. Apesar do suporte de alguns sites de alto perfil, a adopção ainda está pouco disseminada.

A Internet Engineering Task Force (IETF), órgão responsável por desenvolver e promover normas de Internet, publicou a especificação HSTS como um documento de normais oficiais, RFC 6797, na última segunda-feira. O grupo trabalho da IETF focado na segurança estava a trabalhar nele desde 2010, quando foi apresentado como um projecto por Jeff Hodges, da PayPal, Collin Jackson, da Carnegie Mellon University e Adam Barth, da Google.

A norma HSTS foi concebida para impedir que os chamados problemas de conteúdo misto de afectem a segurança e integridade de sites HTTPS. Situações de conteúdo misto ocorrem quando os “scripts” ou outros recursos incorporados nos sites HTTPS são carregados a partir de um terceiro local (exterior ao site) através de uma ligação insegura. Isto pode ser o resultado de um erro de desenvolvimento, mas pode ser intencional.

Quando o browser carrega o recurso inseguro faz uma solicitação através de HTTP e também pode enviar “cookies” de sessão do utilizador juntamente. Um atacante capaz de interceptar o pedido através de técnicas de “sniffing” pode usar o “cookie” para usurpar a conta do utilizador.

O mecanismo HSTS também previne ataques de intercepção de comunicações ( “man-in-the-middle”). Nestes casos os atacantes estão em posição para interceptar a ligação de um utilizador com um site e forçam o browser a aceder a versão HTTP do site em vez de HTTPS.A técnica é conhecida como HTTPS ou SSL “stripping”, e há ferramentas disponíveis para automatizá-la. Segundo alguns profissionais, a  HSTS é uma das melhores que surgiram para o protocolo SSL.

Corrige alguns dos erros cometidos quando este último foi originalmente concebido, há 18 anos. Mas também aborda as mudanças registadas desde então, referentes à forma como os browsers funcionam hoje.




Deixe um comentário

O seu email não será publicado