Herkese merhaba, bu konumda sizlere HSTS'yi anlatacağım.
# Konu İçeriği #
# HSTS Nedir?
# HSTS Nasıl Çalışır?
# HSTS Nasıl Etkinleştirilir?
# HSTS Saldırılarından Korunma
HSTS Nedir?
HTTP Strict Transport Security isminin kısaltımı olan HSTS, kullanıcıların internete nasıl bağlanacağını geri döndüren bir yönergedir. Bu yönerge alan adları için kullanılmaktadır. Yani alan adında bulunan parametreler için geçerlidir.
HSTS Nasıl Çalışır
HSTS, kullanıcılara HTTPS kullandırır ve gelecek olan saldırılarla karşı önlem alınmasını ve veri trafiğinin güvenliği için oluşturulmuştur. Bu durumu şöyle açıklayabiliriz;
Örneğin kimse "https://google.com" yazmıyor. Bunun yerine herkes "google.com" yazmaktadır. Bu durumda sitenin güvenliğini korumak için sitenin HTTP kodlarının "HTTP Header" kısmına ekleyeceğimiz bir "google.com" yazsak bile güvenlik için kendisi "https://google.com" olarak yönlendirme yapacaktır.
HSTS Nasıl Etkinleştirilir?
HSTS'yi etkinleştirmek için SSL sertifikanızın olması lazım. SSL sertifikanız yoksa ve bu işlemi yaptıysanız sitenize dış ağlardan hiçbir kullanıcı ulaşamayacaktır.
Kod:
Strict-Transport-Security: max-age=16024821; includeSubDomains
Yukarıda vermiş olduğum kodu "HTTP Header" kısmına eklediğiniz zaman HSTS etkinleştirilmiş olacaktır lakin sonunda da belirmiş olduğumuz gibi "SubDomains"ler de etkilenecektir. Bu işlemi yaptıktan sonra mutlaka HTTPS durumunu kontrol edin. Etmezseniz alt alanlara erişimde sorun çıkabilir.
Kod:
Yukarıda ki kod alt alanlara erişim için kullandığımız kodlardan biridir.
HSTS Saldırılarından Korunma
Gelecek olan saldırılardan korunmak için SSL Sertifikasının kontrolü ve CSS/JS eklentileri eklemek korunma yöntemlerindendir.
# Konu İçeriği #
# HSTS Nedir?
# HSTS Nasıl Çalışır?
# HSTS Nasıl Etkinleştirilir?
# HSTS Saldırılarından Korunma
HSTS Nedir?
HTTP Strict Transport Security isminin kısaltımı olan HSTS, kullanıcıların internete nasıl bağlanacağını geri döndüren bir yönergedir. Bu yönerge alan adları için kullanılmaktadır. Yani alan adında bulunan parametreler için geçerlidir.
HSTS Nasıl Çalışır
HSTS, kullanıcılara HTTPS kullandırır ve gelecek olan saldırılarla karşı önlem alınmasını ve veri trafiğinin güvenliği için oluşturulmuştur. Bu durumu şöyle açıklayabiliriz;
Örneğin kimse "https://google.com" yazmıyor. Bunun yerine herkes "google.com" yazmaktadır. Bu durumda sitenin güvenliğini korumak için sitenin HTTP kodlarının "HTTP Header" kısmına ekleyeceğimiz bir "google.com" yazsak bile güvenlik için kendisi "https://google.com" olarak yönlendirme yapacaktır.
HSTS Nasıl Etkinleştirilir?
HSTS'yi etkinleştirmek için SSL sertifikanızın olması lazım. SSL sertifikanız yoksa ve bu işlemi yaptıysanız sitenize dış ağlardan hiçbir kullanıcı ulaşamayacaktır.
Kod:
Strict-Transport-Security: max-age=16024821; includeSubDomains
Yukarıda vermiş olduğum kodu "HTTP Header" kısmına eklediğiniz zaman HSTS etkinleştirilmiş olacaktır lakin sonunda da belirmiş olduğumuz gibi "SubDomains"ler de etkilenecektir. Bu işlemi yaptıktan sonra mutlaka HTTPS durumunu kontrol edin. Etmezseniz alt alanlara erişimde sorun çıkabilir.
Kod:
Yukarıda ki kod alt alanlara erişim için kullandığımız kodlardan biridir.
HSTS Saldırılarından Korunma
Gelecek olan saldırılardan korunmak için SSL Sertifikasının kontrolü ve CSS/JS eklentileri eklemek korunma yöntemlerindendir.