Την Παρασκευή, η ομάδα ασφαλείας της Google ανακοίνωσε ότι έχει ολοκληρώσει την εφαρμογή της HSTS υποστήριξης για όλα τα προϊόντα της εταιρείας που τρέχουν στο google.com domain.
Η κίνηση αυτή έρχεται μετά από μήνες δοκιμών για να επιβεβαιωθεί ότι η λειτουργία καλύπτει όλες τις υπηρεσίες, συμπεριλαμβανομένων των API, και όχι μόνο των κύριων Web διεπαφών.
Το HSTS σημαίνει HTTP Strict Transport Security και είναι ένα Web πρωτόκολλο ασφαλείας που υποστηρίζεται από όλα τα σημερινά προγράμματα περιήγησης και τους Web διακομιστές.
Αυτή η τεχνολογία επιτρέπει στους webmasters να προστατεύουν την υπηρεσία και τους χρήστες τους, από HTTPS downgrades, man-in-the-middle επιθέσεις και cookie hijacking για HTTPS συνδέσεις.
Το πρωτόκολλο αποτρέπει τους χρήστες από το να πηγαίνουν πίσω σε μια HTTP σύνδεση κατά την πρόσβαση στη Google μέσω HTTPS και «βίαια» ανακατευθύνει τους χρήστες σε HTTPS συνδέσεις όσο το δυνατόν περισσότερο.
Η τεχνολογία θεωρείται ευρέως ως ο καλύτερος τρόπος για να προστατευτούν οι HTTPS συνδέσεις από τις πιο κοινές επιθέσεις SSL, αλλά δεν έχει υιοθετηθεί ευρέως.
Μια μελέτη από την Netcraft που διεξήχθη τον περασμένο Μάρτιο έδειξε ότι το 95% όλων των servers που τρέχουν HTTPS είτε αποτυγχάνουν να εγκαταστήσουν το HSTS είτε έρχονται αντιμέτωποι με σφάλματα διαμόρφωσης. Ως εκ τούτου, η ομάδα της Gοogle έχει ξοδέψει ένα μεγάλο χρονικό διάστημα στις δοκιμές.
“Κανονικά, η εφαρμογή του HSTS είναι μια σχετικά βασική διαδικασία”, εξήγησε ο Jay Brown της Google, Senior Technical Program Manager, την Παρασκευή. “Ωστόσο, λόγω της ιδιαίτερης πολυπλοκότητας της Gοogle, έπρεπε να κάνουμε κάποια επιπλέον προετοιμασία που τα περισσότερα από τα άλλα domains, δεν θα χρειαζόταν να κάνουν. Για παράδειγμα, έπρεπε να αντιμετωπίσουμε μεικτό περιεχόμενο, χαλασμένους συνδέσμους, ανακατευθύνσεις σε HTTP και άλλα θέματα όπως η ενημέρωση των legacy υπηρεσιών, οι οποίες θα μπορούσαν να προκαλέσουν προβλήματα για τους χρήστες που προσπαθούν να έχουν πρόσβαση στο βασικό μας domain.”
Κατά τη διάρκεια των HSTS δοκιμών, ο Brown λέει ότι η ομάδα κατάφερε να σπάσει το διάσημο Santa Tracker της Goοgle τον περασμένο Δεκέμβριο. Το πρόβλημα επιδιορθώθηκε, αλλά αυτό έρχεται μόνο για να δείξει το ευρύ φάσμα των προϊόντων που οι μηχανικοί έπρεπε να εξασφαλίσουν ότι δουλεύει σωστά μετά την εγκατάσταση του HSTS.
