「Strict-Transport-Security」の版間の差分
提供: セキュリティ
| 行4: | 行4: | ||
Webサイトにアクセスをする場合に、セキュアコネクション([[HTTPS]])を利用するように、 [[HTTPレスポンスヘッダー]]のフィールドに [[Strict-Transport-Security]] (STS)を指定します。 | Webサイトにアクセスをする場合に、セキュアコネクション([[HTTPS]])を利用するように、 [[HTTPレスポンスヘッダー]]のフィールドに [[Strict-Transport-Security]] (STS)を指定します。 | ||
| + | HTTP Strict Transport Security や HTST とも呼ばれます。 | ||
読み方 | 読み方 | ||
| 行14: | 行15: | ||
[[HTTP]] でアクセスしたときに、このヘッダーが送信されても、ブラウザは、無視します。 | [[HTTP]] でアクセスしたときに、このヘッダーが送信されても、ブラウザは、無視します。 | ||
| − | HTTP Strict Transport Security | + | ブラウザに http://www.foo.com/ もしくは foo.com を入力した場合、 [[Webサイト]] は、[[HTTP]] で受けたアクセスを [[HTTPS]] へリダイレクトするまで、暗号化されない通信をすることになります。 |
| + | この方法は、リダイレクトにより、ユーザを安全ではないサイトへ誘導する[[中間者攻撃]]のおそれがあります。 | ||
| + | |||
| + | [[Strict-Transport-Security]] を利用すれば、ウェブブラウザは、そのサイトに対して、 [[HTTP]] を使用せずに、[[HTTPS]]での接続に置き換えるようになります。 | ||
| + | |||
| + | ブラウザは、[[HTTPS]] でアクセスしていて、このヘッダを受信してから、有効期限内である間は、有効です。 | ||
| + | 家で利用したスマートフォンやノートパソコンを 空港やカフェの無線LANスポットで接続するときに、このヘッダの有効期限内であれば、[[HTTP]] ではなく、[[HTTPS]] に強制されるので、[[中間者攻撃]]を回避できるかもしれません。 | ||
== 書式 == | == 書式 == | ||
| 行27: | 行34: | ||
=== HTTPヘッダーの例 === | === HTTPヘッダーの例 === | ||
| − | Strict-Transport-Security: max-age= | + | Strict-Transport-Security: max-age=1400 |
=== Apache HTTP Server での設定 === | === Apache HTTP Server での設定 === | ||
| 行41: | 行48: | ||
# ヘッダの設定 | # ヘッダの設定 | ||
Header set Strict-Transport-Security "max-age=16070400; includeSubDomains" | Header set Strict-Transport-Security "max-age=16070400; includeSubDomains" | ||
| + | </syntaxhighlight> | ||
| + | |||
| + | === Google での事例 === | ||
| + | |||
| + | 2592000 は、 720 時間で、30日ということです。 | ||
| + | PayPal に比べるとずっと長いですが、現実的な数字だと考えれられます。 | ||
| + | |||
| + | <syntaxhighlight lang="bash"> | ||
| + | % curl -s -I \ | ||
| + | 'https://accounts.google.com/ServiceLogin' \ | ||
| + | |fgrep -v -e Set-Cookie | ||
| + | HTTP/1.1 200 OK | ||
| + | Content-Type: text/html; charset=UTF-8 | ||
| + | Strict-Transport-Security: max-age=2592000; includeSubDomains | ||
| + | Date: Wed, 01 May 2013 10:44:49 GMT | ||
| + | Expires: Wed, 01 May 2013 10:44:49 GMT | ||
| + | Cache-Control: private, max-age=0 | ||
| + | X-Content-Type-Options: nosniff | ||
| + | X-XSS-Protection: 1; mode=block | ||
| + | Content-Length: 0 | ||
| + | Server: GSE | ||
| + | |||
| + | </syntaxhighlight> | ||
| + | |||
| + | === PayPal での事例 === | ||
| + | |||
| + | 14400 秒ということは、14400 / 3600 = 4時間ということです。 | ||
| + | キャッシュする時間が少々短いのではないかと考えられますが。 | ||
| + | |||
| + | <syntaxhighlight lang="bash"> | ||
| + | % curl -s -I \ | ||
| + | 'https://www.paypal.com/cy/cgi-bin/webscr?cmd=_home&litebox.x=true' \ | ||
| + | | fgrep -v -e Set-Cookie | ||
| + | HTTP/1.1 200 OK | ||
| + | Server: Apache | ||
| + | Cache-Control: private | ||
| + | Pragma: no-cache | ||
| + | Expires: Thu, 05 Jan 1995 22:00:00 GMT | ||
| + | X-Frame-Options: SAMEORIGIN | ||
| + | Strict-Transport-Security: max-age=14400 | ||
| + | Strict-Transport-Security: max-age=14400 | ||
| + | Content-Type: text/html; charset=UTF-8 | ||
| + | Date: Wed, 01 May 2013 10:41:22 GMT | ||
| + | Connection: keep-alive | ||
</syntaxhighlight> | </syntaxhighlight> | ||
2013年5月1日 (水) 20:00時点における版
Webサイトにアクセスをする場合に、セキュアコネクション(HTTPS)を利用するように、 HTTPレスポンスヘッダーのフィールドに Strict-Transport-Security (STS)を指定します。
HTTP Strict Transport Security や HTST とも呼ばれます。
読み方
- Strict-Transport-Security
- すとりくと とらんすぽーと せきゅりてぃ
目次
概要
Strict-Transport-Security は、HTTPS (Transport Layer Security) を強制するためのHTTPヘッダーです。 HTTP でアクセスしたときに、このヘッダーが送信されても、ブラウザは、無視します。
ブラウザに http://www.foo.com/ もしくは foo.com を入力した場合、 Webサイト は、HTTP で受けたアクセスを HTTPS へリダイレクトするまで、暗号化されない通信をすることになります。 この方法は、リダイレクトにより、ユーザを安全ではないサイトへ誘導する中間者攻撃のおそれがあります。
Strict-Transport-Security を利用すれば、ウェブブラウザは、そのサイトに対して、 HTTP を使用せずに、HTTPSでの接続に置き換えるようになります。
ブラウザは、HTTPS でアクセスしていて、このヘッダを受信してから、有効期限内である間は、有効です。 家で利用したスマートフォンやノートパソコンを 空港やカフェの無線LANスポットで接続するときに、このヘッダの有効期限内であれば、HTTP ではなく、HTTPS に強制されるので、中間者攻撃を回避できるかもしれません。
書式
Strict-Transport-Security: max-age=expireTime [; includeSubdomains]
- expireTime
- ブラウザが そのサイトに対してHTTPSでのみアクセスすることを記憶する秒数を指定します。
- includeSubdomains
- includeSubdomains を指定した場合、サブドメインに対しても、適用されます。
使い方
HTTPヘッダーの例
Strict-Transport-Security: max-age=1400
Apache HTTP Server での設定
# 80 へのアクセスをHTTPSにリダイレクトする例 <VirtualHost *:80> ServerAlias * RewriteEngine On RewriteRule ^(.*)$ https://%{HTTP_HOST}$1 [redirect=301] </VirtualHost> # ヘッダの設定 Header set Strict-Transport-Security "max-age=16070400; includeSubDomains"
Google での事例
2592000 は、 720 時間で、30日ということです。 PayPal に比べるとずっと長いですが、現実的な数字だと考えれられます。
% curl -s -I \ 'https://accounts.google.com/ServiceLogin' \ |fgrep -v -e Set-Cookie HTTP/1.1 200 OK Content-Type: text/html; charset=UTF-8 Strict-Transport-Security: max-age=2592000; includeSubDomains Date: Wed, 01 May 2013 10:44:49 GMT Expires: Wed, 01 May 2013 10:44:49 GMT Cache-Control: private, max-age=0 X-Content-Type-Options: nosniff X-XSS-Protection: 1; mode=block Content-Length: 0 Server: GSE
PayPal での事例
14400 秒ということは、14400 / 3600 = 4時間ということです。 キャッシュする時間が少々短いのではないかと考えられますが。
% curl -s -I \ 'https://www.paypal.com/cy/cgi-bin/webscr?cmd=_home&litebox.x=true' \ | fgrep -v -e Set-Cookie HTTP/1.1 200 OK Server: Apache Cache-Control: private Pragma: no-cache Expires: Thu, 05 Jan 1995 22:00:00 GMT X-Frame-Options: SAMEORIGIN Strict-Transport-Security: max-age=14400 Strict-Transport-Security: max-age=14400 Content-Type: text/html; charset=UTF-8 Date: Wed, 01 May 2013 10:41:22 GMT Connection: keep-alive
サポートブラウザ
| ブラウザ | バージョン |
|---|---|
| Chrome | 4.0.211.0 |
| Firefox | 4.0 |
| Internet Explorer | - |
| Opera | 12 |
| Safari | - |