HSTS (HTTP Strict Transport Security), web sitelerini ortadaki adam saldırılarına ve oturum ele geçirmeye karşı korumaya yardımcı olan bir web güvenlik politikası mekanizmasıdır 13.
HSTS, web sunucularının tarayıcılarla yalnızca güvenli HTTPS bağlantıları üzerinden iletişim kurmaları gerektiğini belirtmelerine olanak tanır 35. Bu sayede kullanıcı, herhangi bir güvenlik çözümü sunmayan HTTP yerine Taşıma Katmanı Güvenliği (TLS/SSL) sağlayan HTTPS kullanarak ilgili web sitesine erişim sağlar 5.
HSTS'nin bazı kullanım amaçları:
- Protokol düşürme 3. HTTPS bağlantısının, kazara ya da kötü niyetli kişiler tarafından HTTP bağlantısına dönüştürülmesi durumunu engeller 3.
- Oturum çalma 3. Bir bilgisayar korsanının, kullanıcının oturum çerezlerini aktarım sırasında ele geçirerek o kullanıcı gibi davranmasını önler 3.
- Çerez zorlamasına karşı savunma 3. "IncludeSubdomains" modu ile tarayıcıyı bu tür saldırılara karşı korur 3.
- Güvenli olmayan URL referanslarını dönüştürme 3. URL'lerin herhangi birinde HTTP'nin HTTPS ile değiştirilmesini zorunlu kılar 3.
5 kaynaktan alınan bilgiyle göre: