HSTS

Also known as: HTTP Strict Transport Security, Strict-Transport-Security

כלל שהאתר שלכם שולח לדפדפנים ואומר 'התחבר אלי תמיד בצורה מאובטחת' — סוגר פרצה שתוקפים משתמשים בה ליירוט אותה ביקור ראשון לא-מוגן.

מה זה

HSTS הוא קיצור של HTTP Strict Transport Security. זוהי הוראה קצרה שהאתר שלכם שולח לדפדפן של מבקר בפעם הראשונה שהוא מתחבר, שאומרת: “מעכשיו, התחבר אלי תמיד בצורה מאובטחת — אף פעם לא דרך חיבור לא מוגן.” הדפדפן זוכר זאת ואוכף זאת אוטומטית בכל ביקור עתידי.

למה זה חשוב לעסק שלכם

אפילו כאשר לאתר שלכם יש אישור בתוקף, יש פרצה קטנה בחיבור הראשון הזה — לפני שהגרסה המאובטחת נכנסת לתוקף. תוקף באותה רשת יכול לנצל את הרגע הזה כדי להפנות בשקט מבקר לעותק מזויף או לא-מוגן של האתר שלכם וללכוד את מה שהם מקלידים.

HSTS מסיר את הפרצה הזו. ברגע שדפדפן קיבל את הכלל, הוא מסרב להתחבר באופן לא-מאובטח בכלל — אין חלון לתוקף לחדור. עבור הלקוחות שלכם זה בלתי-נראה; עבורכם זה הקשחה שקטה, חד-פעמית שמגינה על כל ביקור חוזר.

כיצד לדעת / מה לעשות

הבודק החינמי שלנו מספר לכם האם HSTS מופעל לאתר שלכם. אם לא, מדריך תיקון ה-HSTS מסביר כיצד להפעיל אותו בבטחה — זו הגדרה קטנה המתווספת על-ידי מי שמנהל את האתר שלכם, וחינמית. (עדיף להפעיל אותה רק לאחר שהאתר כבר עובד במלואו על חיבור מאובטח, שהמדריך מכסה.)

Want to fix this on your own domain? See the free guide →