Microsoft mang HTTP Strict Transport Security vào Windows 7 và 8.1

Trong bản cập nhật Patch Tuesday, Microsoft đã giới thiệu một lớp bảo mật HTTP Strict Transport Security (HSTS) dành cho người dùng sử dụng Internet Explorer 11 trên Windows 7 và Windows 8.1 

HSTS là một header của trình duyệt bắt buộc các kết nối sau nó phải được gửi thông qua giao thức HTTPS.  Nhờ việc yêu cầu tất cả kết nối kế tiếp được mã hóa, HSTS bảo vệ người dùng khỏi các thủ đoạn chuyển kết nối về dạng HTTP trần, ngăn chặn tin tặc sử dụng chứng chỉ số không hợp lệ. HSTS cũng bảo vệ người dùng với những trang HTTPS nhưng có đường dẫn HTTP hay nội dung không mã hóa.

HSTS được bật mặc định trong Internet Explorer 11 trên Windows 10 Insider Preview và trình duyệt mới Microsoft Edge. Microsoft là một trong những công ty hỗ trợ HSTS muộn nhất trên trình duyệt web của mình. Google Chrome và Mozilla Firefox hỗ trợ HSTS từ 2011 và Apple bổ sung trên Safari trong phiên bản 10.9 Mavericks.

Động thái này tiếp nối việc Microsoft mang Perfect Forward Secrecy vào Windows. Đây là những cơ chế bảo mật cần thiết, đặc biệt với ứng dụng mới. Nó đảm bảo những khóa mới được thỏa thuận trong mỗi phiên làm việc web, khó bị xâm hại hơn. HSTS cũng giải quyết tấn công Mixed Content khi script HTTP kém bảo mật được tải từ trang có kết nối HTTPS.

threatpost