संक्षिप्त परिचय
आजकल, हर कोई समझता है कि असुरक्षित http सत्र को अपहरण करना कितना सरल कार्य है।
और केवल प्रमाण पत्र खरीदने की कीमत व्यापक रूप से अपनाने से रोक सकती है,
www.startssl.com नि: शुल्क प्रमाण पत्र (कक्षा 1) वितरित करके इस समस्या को हल करता है। सत्यापित (कक्षा 2) में एक पैसा खर्च होता है।
रीडायरेक्ट
जब प्रमाणपत्र खरीदा जाता है और सॉफ्टवेयर को कॉन्फ़िगर किया जाता है, तो यह स्पष्ट हो जाता है कि उपयोगकर्ता को http: // mySite.ru से https: // mySite.ru पर रीडायरेक्ट करने की आवश्यकता है।
ऐसा पुनर्निर्देशन एक छोटे से सुरक्षा छेद बनाता है; पुनर्निर्देशन से पहले हमला किया जा सकता है। इसलिए, 'सिक्योर' विशेषता का उपयोग करना आवश्यक है, जो ब्राउज़र को बताता है कि कुकीज़ को केवल https के माध्यम से भेजा जा सकता है और https से लिंक निर्दिष्ट करके और निम्नलिखित तकनीकों का उपयोग करके पुनर्निर्देशन से बचना उचित है:
HTTP / 1.1 विनिर्देशन कहता है कि HTTP प्रतिक्रिया कोड 301 ("स्थायी रूप से स्थानांतरित") और 302 ("पाया गया" / "अस्थायी रूप से स्थानांतरित") को ब्राउज़र द्वारा कैश किया जा सकता है।
इसलिए, अधिक परिपक्वता वाले एक्सपायर या कैश-कंट्रोल अधिकतम-आयु वाले हेडर का उपयोग करके रीडायरेक्ट को अधिक सुरक्षित बना देगा। स्पष्ट समस्या कुछ ब्राउज़रों के डेवलपर्स से विनिर्देशों के लिए सम्मान की कमी है।
दूसरा विकल्प स्ट्रिक्ट-ट्रांसपोर्ट-सिक्योरिटी हेडर का उपयोग करना है।
इस शीर्ष लेख के माध्यम से, आप ब्राउज़र को सूचित करते हैं कि वेबसाइट केवल https के माध्यम से सुलभ होगी। http अनुरोध ब्राउज़र द्वारा क्लाइंट की ओर से फिर से लिखा जाएगा।
Strict-Transport-Security: max-age=31556926;एक ब्राउज़र बताता है जो मसौदा मानक का समर्थन करता है कि साइट केवल https के माध्यम से 1 वर्ष के लिए उपलब्ध है। (फ़ायरफ़ॉक्स और क्रोम पहले से ही इसका समर्थन करते हैं, ओपेरा अपनी स्थिति के संक्रमण को सहमत या स्थापित करने की उम्मीद करता है)।
सामग्री न मिलाएं
आपको यह सुनिश्चित करने की आवश्यकता है कि आप http साइटों से सामग्री डाउनलोड नहीं कर रहे हैं। अक्सर लोग यह भूल जाते हैं कि वे CDN से लाइब्रेरी डाउनलोड करते हैं या Google एनालिटिक्स को https मोड में स्विच नहीं करते हैं।
अतिरिक्त जानकारी
Startsl
habrahabr.ru/post/127643 पर प्रमाणपत्र प्राप्त करने पर एक विस्तृत लेख
en.wikipedia.org/wiki/HTTP_Strict_Transport_Securityen.wikipedia.org/wiki/List_of_HTTP_status_codesen.wikipedia.org/wiki/HTTP_cookie#Secure_cookieएक बड़े मंच का उदाहरण startsl
cartenergy.ru का उपयोग करके (ऑनलाइन स्टोर बनाएं)