IT之家訊2月17日消息，微軟今天宣布在IE瀏覽器中支持HTTP Strict Transport Security（HSTS），并且今后也將在Win10斯巴達瀏覽器中對此進行支持。

HTTP Strict Transport Security，HTTP強制安全傳輸用來確保終端用戶只有在使用安全的HTTPS連接時才能與服務器連接。在瀏覽器向服務器發送請求時，每接收一個標題就添加一個標志，這樣HSTS就能確保接下來與網站的連接都經過一種廣泛使用的HTTPS協議的加密。由于之后的所有連接都要被加密，HSTS能保護用戶不受降級攻擊，也就是黑客將已加密的連接再轉換回純文本HTTP。由于傳輸過程已經加密，因此它可以防范中間人攻擊，降低信息泄露的風險。

HSTS可以用來抵御SSL剝離攻擊。SSL剝離攻擊是中間人攻擊的一種，由Moxie Marlinspike于2009年發明。他在當年的黑帽大會上發表的題為“New Tricks For Defeating SSL In PRactice”的演講中將這種攻擊方式公開。SSL剝離的實施方法是阻止瀏覽器與服務器創建HTTPS連接。它的前提是用戶很少直接在地址欄輸入https://，用戶總是通過點擊鏈接或3xx重定向，從HTTP頁面進入HTTPS頁面。所以攻擊者可以在用戶訪問HTTP頁面時替換所有https://開頭的鏈接為http://，達到阻止HTTPS的目的。

HSTS可以很大程度上解決SSL剝離攻擊，因為只要瀏覽器曾經與服務器創建過一次安全連接，之后瀏覽器會強制使用HTTPS，即使鏈接被換成了HTTP。

另外，如果中間人使用自己的自簽名證書來進行攻擊，瀏覽器會給出警告，但是許多用戶會忽略警告。HSTS解決了這一問題，一旦服務器發送了HSTS字段，用戶將不再允許忽略警告。（Source：Microsoft News）

關注Windows10，鎖定Win10之家（http://win10.ithome.com）