جستجو برای:
  • پاور سئو
  • دوره آموزشی
    • آموزش وردپرس
    • دوره های دیجیتال مارکتینگ
    • دوره های مالی و سرمایه گزاری
    • نرم افزار های ادوبی
  • آموزش های رایگان
    • تریک و ترفند
    • آموزش ارز دیجیتال
    • آموزش اینستاگرام
    • آموزش سئو
    • آموزش فارکس
    • آموزش وردپرس
    • تریک و ترفند
  • تماس با ما
  • درباره ما
 
  • 09210326366
  • info@mnrs.ir
  • بلاگ
  • تماس با ما
  • درباره ما
پاور سئو
  • پاور سئو
  • دوره آموزشی
    • آموزش وردپرس
    • دوره های دیجیتال مارکتینگ
    • دوره های مالی و سرمایه گزاری
    • نرم افزار های ادوبی
  • آموزش های رایگان
    • تریک و ترفند
    • آموزش ارز دیجیتال
    • آموزش اینستاگرام
    • آموزش سئو
    • آموزش فارکس
    • آموزش وردپرس
    • تریک و ترفند
  • تماس با ما
  • درباره ما
0

ورود و ثبت نام

بلاگ

پاور سئوبلاگآموزش وردپرسمعرفی HSTS

معرفی HSTS

خرداد 21, 1401
ارسال شده توسط sjseo
آموزش وردپرس
22 بازدید
معرفی HSTS

معرفی HSTS

HSTS مخفف HTTP Strict Transport Security است. این روشی است که توسط وب سایت ها استفاده می شود تا اعلام کنند که فقط باید با استفاده از یک اتصال ایمن (HTTPS) به آنها دسترسی داشت. اگر یک وب سایت یک خط مشی HSTS را اعلام کند، مرورگر باید تمام اتصالات HTTP را رد کند و از پذیرش گواهینامه های ناامن SSL توسط کاربران جلوگیری کند. HSTS به عنوان یک استاندارد امنیتی وب در سال 2012 در RFC 6797 تعریف شد. هدف اصلی از ایجاد این استاندارد کمک به جلوگیری از حملات انسان در وسط (MITM) بود که از حذف SSL استفاده می‌کردند. حذف SSL تکنیکی است که در آن مهاجم مرورگر را مجبور می‌کند تا با استفاده از HTTP به یک سایت متصل شود تا بتواند بسته‌ها را بشنود و اطلاعات حساس را رهگیری یا تغییر دهد. HSTS همچنین روش خوبی برای محافظت از خود در برابر ربودن کوکی ها است.

به طور معمول، زمانی که URL را در مرورگر وب وارد می کنید، از قسمت پروتکل صرفنظر می کنید. مثلاً www.google.com را تایپ می کنید نه http://www.google.com در چنین حالتی، مرورگر فرض می‌کند که شما می‌خواهید از پروتکل HTTP استفاده کنید، بنابراین درخواست HTTP را به www.google.com می‌دهد. در این مرحله، وب سرور با یک تغییر مسیر (کد پاسخ 301) که به سایت HTTPS اشاره می کند، پاسخ می دهد. مرورگر یک اتصال HTTPS به www.google.com برقرار می کند. این زمانی است که حفاظت از خط مشی امنیتی HSTS با استفاده از هدر پاسخ HTTP شروع می شود.

هدر Strict-Transport-Security دستورالعمل های خاصی را به مرورگر می دهد. از این پس هر اتصال به سایت و زیر دامنه های آن برای سال آینده از لحظه دریافت این هدر باید یک اتصال HTTPS باشد. اتصال HTTP به هیچ وجه مجاز نیست. اگر مرورگر درخواستی برای بارگیری یک منبع با استفاده از HTTP دریافت کرد، در عوض باید یک درخواست HTTPS را امتحان کند. اگر HTTPS در دسترس نباشد، اتصال باید قطع شود.

علاوه بر این اگر گواهی معتبر نباشد، از برقراری ارتباط جلوگیری می‌کنید. معمولاً، اگر گواهی معتبر نباشد مرورگر هشداری را نشان می دهد که می توانید آن را دور بزنید. با این حال، اگر سایت دارای HSTS باشد، مرورگر به هیچ وجه به شما اجازه نمی دهد که هشدار را دور بزنید. برای دسترسی به سایت، باید سایت را از لیست HSTS در مرورگر حذف کنید.

هدر Strict-Transport-Security برای یک وب سایت خاص ارسال می شود و یک نام دامنه خاص را پوشش می دهد. بنابراین، اگر هدر HSTS برای www.google.com داشته باشید، google.com را پوشش نمی دهد، بلکه فقط زیر دامنه www. به همین دلیل است که برای محافظت کامل، وب سایت شما باید یک تماس با دامنه پایه داشته باشد و یک هدر Strict-Transport-Security برای آن دامنه با دستورالعمل include Subdomains دریافت کند.

آیا HSTS کاملاً ایمن است؟

متأسفانه، اولین باری که به وب سایت دسترسی پیدا می کنید، توسط HSTS محافظت نمی شوید. اگر وب سایت یک هدر HSTS به اتصال HTTP اضافه کند، آن هدر نادیده گرفته می شود. این به این دلیل است که یک مهاجم می تواند در طول حمله Man-in-the-Middle، هدرها را حذف یا اضافه کند. هدر HSTS قابل اعتماد نیست مگر اینکه از طریق HTTPS تحویل داده شود.همچنین باید بدانید که HSTS max-age هر بار که مرورگر شما سرصفحه را می‌خواند به روز می‌شود و حداکثر مقدار آن دو سال است. این بدان معنی است که تا زمانی که بین بازدیدهای شما بیش از دو سال نگذرد، محافظت دائمی است. اگر به مدت دو سال از یک وب سایت بازدید نکنید، به عنوان یک سایت جدید در نظر گرفته می شود. در همان زمان، اگر هدر HSTS را با حداکثر سن 0 ارائه کنید، مرورگر در تلاش برای اتصال بعدی، سایت را به عنوان سایت جدید در نظر می گیرد که می تواند برای آزمایش مفید باشد.

می توانید از یک روش حفاظتی اضافی به نام لیست پیش بارگذاری HSTS استفاده کنید. پروژه Chromium فهرستی از وب‌سایت‌هایی را که از HSTS استفاده می‌کنند نگهداری می‌کند و فهرست با مرورگرها توزیع می‌شود. اگر وب سایت خود را به لیست پیش بارگذاری اضافه کنید، مرورگر ابتدا فهرست داخلی را بررسی می کند و بنابراین هرگز از طریق HTTP به وب سایت شما دسترسی نمی یابد، حتی در اولین تلاش برای اتصال. این روش بخشی از استاندارد HSTS نیست اما توسط همه مرورگرهای اصلی Chrome، Firefox، Safari، Opera، IE11 و Edge از آن استفاده می شود.تنها روش شناخته شده در حال حاضر که می تواند برای دور زدن HSTS استفاده شود، حمله مبتنی بر NTP است. اگر رایانه سرویس گیرنده مستعد حمله NTP باشد، می توان فریب داد تا خط مشی HSTS منقضی شود و یک بار با HTTP به سایت دسترسی پیدا کند.

معرفی HSTS

چگونه یک دامنه را از کش HSTS در یک مرورگر حذف کنیم:

هنگامی که HSTS را راه اندازی می کنید و آن را آزمایش می کنید، ممکن است لازم باشد کش HSTS را در مرورگر پاک کنید. اگر HSTS را اشتباه تنظیم کنید، ممکن است خطاهایی دریافت کنید که شما را از سایت قفل می کند مگر اینکه داده ها را پاک کنید. در اینجا روش هایی برای چندین مرورگر محبوب وجود دارد. همچنین توجه داشته باشید که اگر دامنه شما در لیست پیش‌بارگذاری HSTS باشد، پاک کردن کش HSTS بی‌اثر خواهد بود و راهی برای اجبار کردن اتصال HTTP وجود ندارد.

حذف از گوگل کروم

برای حذف یک دامنه از کش کروم HSTS، این دستورالعمل ها را دنبال کنید:

  1. 1. به chrome://net-internals/#hsts بروید.
  2. در قسمت Delete domain security policys، دامنه مورد نظر برای حذف را در کادر متن وارد کنید.
  3. روی دکمه Delete کنار کادر متن کلیک کنید.

حذف از موزیلا فایرفاکس

روش های مختلفی برای حذف اطلاعات HSTS از فایرفاکس برای یک دامنه خاص وجود دارد. همه آنها در یک مقاله اختصاصی به تفصیل شرح داده شده اند. زیر ساده ترین و سریع ترین مورد است، اما بیشتر از اطلاعات HSTS را از حافظه پنهان حذف می کند.

  1. تمام برگه های باز سایت خود را ببندید.
  2. پنجره تاریخچه فایرفاکس را باز کنید (کتابخانه > تاریخچه > نمایش تمام تاریخچه)
  3. دامنه را با استفاده از نوار جستجو جستجو کنید.
  4. روی دامنه کلیک راست کرده و گزینه Forget About This Site را انتخاب کنید.
  5. فایرفاکس را مجددا راه اندازی کنید.

حذف از Apple Safari

حذف اطلاعات HSTS از سافاری بسیار آسان است:

  1. Safari را ببندید.
  2. فایل زیر را از فهرست اصلی خود حذف کنید: ~/Library/Cookies/HSTS.plist
  3. سافاری را باز کنید.

حذف از Microsoft Internet Explorer و Microsoft Edge

شما نمی توانید یک دامنه را از کش HSTS برای مرورگرهای مایکروسافت حذف کنید. شما فقط می توانید HSTS را به طور موقت در اینترنت اکسپلورر 11 و فقط در ویندوز 7 یا ویندوز 8.1 نه در ویندوز 10 خاموش کنید. دستورالعمل های کامل در مقاله مربوط به پشتیبانی مایکروسافت موجود است.

پاور سئو مقالات کاربردی و مفید در خصوص وردپرس و سئو ارائه می دهد که به صورت رایگان از آموزش ها می توانید بهره مند شوید. همچنین توصیه می شود مقالات معرفی DNSSEC و معرفی Hotlinking را نیز مطالعه فرمایید.

اشتراک گذاری:
در تلگرام
کانال ما را دنبال کنید!
در اینستاگرام
ما را دنبال کنید!
Created by potrace 1.14, written by Peter Selinger 2001-2017
در آپارات
ما را دنبال کنید!

مطالب زیر را حتما مطالعه کنید

نکاتی برای افزایش ورودی گوگل در محتوا

نکاتی برای افزایش ورودی گوگل در محتوا

معرفی افزونه Wordfence Security

معرفی افزونه Wordfence Security

معرفی Jetpack

معرفی Jetpack

معرفی افزونه All In One WP Security & Firewall

معرفی افزونه All In One WP Security & Firewall

معرفی افزونه Akismet

معرفی افزونه Akismet

معرفی DNSSEC

معرفی DNSSEC

دیدگاهتان را بنویسید لغو پاسخ

مقاله در یک نگاه
  • معرفی HSTS
    • آیا HSTS کاملاً ایمن است؟
    • چگونه یک دامنه را از کش HSTS در یک مرورگر حذف کنیم:
    • حذف از گوگل کروم
    • حذف از موزیلا فایرفاکس
    • حذف از Apple Safari
    • حذف از Microsoft Internet Explorer و Microsoft Edge
جستجو برای:
دسته‌ها
نوشته‌های تازه
  • معرفی HSTS
  • نکاتی برای افزایش ورودی گوگل در محتوا
  • معرفی افزونه Wordfence Security
  • معرفی افزونه All In One WP Security & Firewall
  • معرفی Jetpack
درباره پاور سئو

پاور سئو یک منبع آموزش انواع تریک ها و ترفند های فضای مجازی و همچنین انواع دوره های آموزشی نظیر دوره ارز دیجیتال ، دوره فارکس ، دوره بورس اوراق بهادار ، دوره سئو ، دوره وردپرس و ….می باشد.بسیاری از دوره های ما برای شما رایگان است.

فهرست سفارشی
  • بلاگ
  • تماس با ما
  • حساب کاربری من
  • درباره ما
  • سبد خرید
  • فروشگاه

ورود

رمز عبور را فراموش کرده اید؟

هنوز عضو نشده اید؟ عضویت در سایت