HSTS

Also known as: أمان النقل الصارم عبر HTTP, Strict-Transport-Security

قاعدة يرسلها موقعك إلى المتصفحات تقول 'اتصل بي دائماً بأمان' — لإغلاق ثغرة يستغلها المهاجمون لاعتراض تلك الزيارة الأولى غير المحمية.

ما هو

يرمز HSTS إلى أمان النقل الصارم عبر HTTP (HTTP Strict Transport Security). إنه تعليمة قصيرة يرسلها موقعك إلى متصفح الزائر في أول اتصال، تقول: “من الآن فصاعداً، اتصل بي بأمان فقط — لا تتصل أبداً عبر اتصال غير محمي.” يتذكّر المتصفح هذا ويفرضه تلقائياً في كل زيارة لاحقة.

لماذا يهم عملك

حتى عندما يملك موقعك شهادة صالحة، تبقى هناك شريحة خطر في ذلك الاتصال الأول — قبل أن تعمل النسخة الآمنة. فمهاجم على الشبكة نفسها قد يستغل تلك اللحظة لتحويل الزائر بهدوء إلى نسخة مزيّفة أو غير محمية من موقعك والتقاط ما يكتبه.

يزيل HSTS تلك الثغرة. فبمجرد أن يُبلَّغ المتصفح بالقاعدة، يرفض الاتصال بشكل غير آمن تماماً — فلا توجد نافذة يتسلل منها المهاجم. وهو غير مرئي لعملائك؛ وبالنسبة لك تحصين هادئ لمرة واحدة يحمي كل زيارة عائدة.

كيف تتأكد / ماذا تفعل

تخبرك أداة الفحص المجانية بما إذا كان HSTS مُفعّلاً لموقعك. وإذا لم يكن كذلك، فإن دليل إصلاح HSTS يشرح كيفية تفعيله بأمان — إنه إعداد صغير يضيفه من يدير موقعك، وهو مجاني. (يُفضّل تفعيله فقط بعد أن يعمل موقعك بالكامل عبر اتصال آمن، وهو ما يغطّيه الدليل.)

Want to fix this on your own domain? See the free guide →