Veiliger surfen met HSTS

Gemengde veiligheid
Inmiddels zijn de banken er aardig in geslaagd de gemiddelde consument de waarde van veilig surfen via https:// duidelijk te maken. Maar helaas is het dan nog mogelijk dat de webpagina die bezocht wordt niet helemaal veilig is en een ingang geeft voor hackers. Dit komt omdat veel sitebouwers soms een absolute URL die start met http:// gebruiken bijvoorbeeld om een plaatje of een andere bron weer te geven binnen dezelfde pagina die wel met https is opgehaald. Het is voor sitebouwers dan ook erg veel werk om op alle plekken de http te gaan vervangen, en wellicht gebruikt men bronnen binnen de pagina die niet eens https ondersteunen.Omleiding
Een veel gebruikte oplossing is om alle aanvragen naar http automatisch om te leiden naar https. Dit lost zeker al veel op, zeker als er nog links in een site zitten die nog met http starten. Echter een directe referentie naar een plaatje of andere bronnen als javascript of stijlsheets via http zal wellicht daar nog steeds niet goed werken. De pagina blijft dan nog steeds gevoelig voor aanvallen.RFC 6797
Het probleem met de gemengde content is de Internet Engineering Task Force (IETF) niet ontgaan. Sinds 2012 heeft men een specificatie goedgekeurd met een oplossing voor de gemengde content. In het kort komt de oplossing er op neer dat een browser vanzelf het http request omzet naar een https request als deze melding krijgt van de site dat dit moet gebeuren. Deze melding wordt via de RFC 6797 specificatie formeel geregeld via de HTTP Strict Transport Security (HSTS) header. Door deze header te zetten zal de browser alle links en bronnen waar nog http in voorkomt automatisch aanpassen naar https. Hoe deze header gezet moet worden is uiteraard te lezen in de hele HTTP Strict Transport Security (HSTS) specificatie.Beperkingen
De HSTS lijkt het ei van Columbus maar kent helaas nog steeds een aantal beperkingen. Zo wordt HSTS niet even goed ondersteund door alle Internet browser versies. Daarnaast gaan ook niet alle Internet browsers gelijk om met sites met gemengde http/https content. Dit is een klein overzicht van de browsers en de HSTS ondersteuning:- Chromium and Google Chrome: sinds verse 4.0.211.0
- Firefox sinds versie 4 met Firefox 17
- Opera sinds versie 12
- Safari sinds OS X Mavericks
- Internet Explorer vanaf versie 12
Zodra een apparaat dus een oudere versie van de browser gebruikt, zal HSTS niet goed werken. Wat ook handig is om te weten dat niet elke browser gelijk reageert op een pagina met gemengde http/https content, bepaalde browsers geven een lichte waarschuwing en laten die melding zien als je de informatie opvraagt achter het slotje in de URL. En soms krijg je een heel prominent scherm te zien met een melding dat de site niet veilig is en dat je zelf eerst akkoord moet gaat met een uitzondering.