Góp ý Tuổi Trẻ Online phiên bản mới Tại đây

Google thực hiện chính sách bảo mật HSTS cho 45 tên miền cao cấp nhất

09/10/2017 11:20 GMT+7

TTO - HSTS là cơ chế đảm bảo tất cả kết nối tới một website phải được mã hóa bằng giao thức HTTPS và không bao giờ sử dụng giao thức HTTP. Hiện Google đang thực hiện chính sách bảo mật HSTS cho 45 tên miền cao cấp nhất, bao gồm các tên miền có đuôi .google, .how và .soy. Vậy điều này có ý nghĩa như thế nào đối với bảo mật web?

Google thực hiện chính sách bảo mật HSTS cho 45 tên miền cao cấp nhất - Ảnh 1.

Cái chết của HTTP

HTTP luôn đứng trước nguy cơ tấn công. Hacker dễ dàng xâm nhập vào lưu lượng truy cập để thực hiện các cuộc tấn công hạ cấp hoặc tận dụng các kỹ thuật khác để cướp cookies. Trong khi đó, HTTPS là giao thức bảo mật vượt trội và tiến bộ hơn hẳn.

Theo thống kê bởi Wired thì hiện nay có một nửa trang web trên thế giới sử dụng giao thức HTTPS. Vào năm 2010, Google đã không thiết lập HTTPS cho Gmail và bắt đầu phát triển các tính năng mã hóa khác. Nhưng đến năm 2014, Google đã công nhận và đánh giá cao các trang web sử dụng HTTPS. Năm ngoái, Google còn trở thành nhà tài trợ bạch kim của dịch vụ Let’s Encrypt giúp công nhận chứng chỉ số SSL miễn phí.

Chrome bây giờ cũng hiển thị các cảnh báo về trang web không an toàn. Theo đó, nhiều doanh nghiệp lớn đã chuyển sang HTTPS.

Rõ ràng HTTP đã không thể cạnh tranh với HTTPS. Giờ đây, Google đang tiến hành các bước tiếp theo nhằm bảo đảm các kết nối đều an toàn bằng cách thực hiện chính sách bảo mật HSTS.

Vẫn có khả năng tấn công kết nối mạng sử dụng giao thức HTTPS Vẫn có khả năng tấn công kết nối mạng sử dụng giao thức HTTPS

TTO - Được xem là kết nối riêng tư, nhưng giao thức bảo mật HTTPS không thật sự an toàn, vẫn ẩn chứa nhiều nguy cơ rình rập tấn công an ninh mạng từ các hacker.

Cơ chế tải trước

HSTS là một hệ thống dựa trên thời gian, nghĩa là trong khoảng thời gian bạn thiết lập trong max-age (tính bằng giây) sẽ đảm bảo rằng trang web của bạn được phục vụ qua giao thức HTTPS.

Khi trình duyệt tương tác với máy chủ web đã bật HSTS, cơ chế tải trước sẽ tìm một header đặc biệt nói rằng trình duyệt chỉ nên sử dụng giao thức HTTPS để kết nối với server.

Ngay cả khi người dùng nhập vào một địa chỉ HTTP thì HSTS cũng sẽ tự động chuyển trang sang HTTPS trước khi tải. Thiết lập này được hỗ trợ trên Chrome, Firefox, Safari, Internet Explorer, Edge và Opera. Ben McIlwain, kỹ sư phần mềm của Google Registry, cho rằng rằng "việc sử dụng HSTS sẽ giúp đảm bảo an toàn mặc định cho mọi kết nối".

Ngoài .google, Google còn thực hiện HSTS cho các tên miền có đuôi .how và .soy nhằm bán cho các công ty hoặc cá nhân muốn thiết lập trang web của riêng họ. Các đuôi khác như .ads, .boo, .here và .meme vẫn chưa được phát hành. Tuy nhiên, vì Google vốn quan tâm đặc biệt về bảo mật ở mức cao nhất, thế nên mọi kế hoạch áp dụng HSTS cho các tên miền cao cấp khác cũng sẽ được thúc đẩy sớm thôi.

Quyết định ở người dùng

HSTS có tính bảo mật cao nhưng cũng gây ra nhiều tranh cãi: Chẳng lẽ người dùng không được phép truy cập vào kết nối không an toàn dù họ thật sự thích thế? Vậy trải nghiệm duyệt web là của người dùng hay của HSTS?

Với không có gì bảo đảm khi sử dụng HTTP thì việc Google áp dụng HSTS để chuyển mọi trang web trở về HTTPS là hợp lý. Giống như khi Microsoft "khai tử" các phiên bản cũ và lỗi thời của Windows, Google cũng làm như vậy với HTTP.

Cơ chế tải trước của HSTS chỉ đơn giản hỗ trợ người dùng bảo mật web, còn việc quyết định sử dụng hay không là ở người dùng.


Hacker tấn công tổ chức quản lý tên miền web

TTO - Tổ chức ICANN quản lý tất cả các tên miền website trên Internet đã bị hacker tấn công, đánh cắp thông tin quản trị viên.

MINH THÁI

Một số thương hiệu tạm dừng quảng cáo trên Youtube

TTO - Phản ứng trước việc quảng cáo của mình xuất hiện trên video có nội dung phản cảm, một số nhãn hàng trong đó có không ít nhãn hàng phục vụ trẻ em... đã quyết định tạm dừng quảng cáo trên Youtube.

Tiếp tục lùi thời gian sửa cáp SMW3, 2018 mới sửa xong AAG?

TTO - Theo thông tin từ một nhà mạng viễn thông, thời điểm khắc phục sự cố trên tuyến cáp quang biển AAG và SMW-3 sẽ tiếp tục kéo dài.

Từ năm học 2018 Pháp cấm triệt để điện thoại ở cấp 1, cấp 2

TTO - Từ tháng 9-2018, Pháp sẽ cấm triệt để việc học sinh sử dụng điện thoại di động ở cấp tiểu học và trung học cơ sở..

Muốn cho con dùng smatphone, cha mẹ cần lưu ý gì?

TTO - Mặc dù không quan trọng như khi con bạn lần đầu học đi, học nói, nhưng thời điểm chúng bắt đầu sử dụng smartphone cũng là lúc bạn rất cần để ý.

Uber nói ‘lỗi kỹ thuật’ sau khi tính cước 18.000 USD cuốc xe 21 phút

TTO - Một hành khách ở Toronto (Canada) đã bị tính phí 18.518,50 USD cho hành trình dài 21 phút trên quãng đường 5 dặm mà bình thường có giá từ 12-16 USD.

Thêm một cựu quan chức Facebook tố mạng này đang ‘xé nát’ xã hội

TTO - “Không có thảo luận dân sự, không có hợp tác, thông tin sai lệch và giả dối”, đó là những tác hại mà một cựu quan chức Facebook cáo buộc mạng xã hội này.

Những ứng dụng giúp bạn quản lý, chăm sóc con bằng điện thoại

TTO - Không biết con mình đang ở đâu và làm gì trên mạng là nỗi ám ảnh của nhiều phụ huynh. Và đây là một số ứng dụng hỗ trợ cha mẹ quản lý con cái tốt hơn trong vấn đề này.