HSTS và cách bảo vệ Website khỏi cuộc tấn công Man-In-The-Middle

HSTS và cách bảo vệ Website khỏi cuộc tấn công Man-In-The-Middle

Tin ngắn hàng ngày dành cho bạn
  • Manus đã chính thức mở cửa cho tất cả người dùng rồi đấy mọi người. Cho những ai chưa biết thì đây là một công cụ viết báo cáo (làm mưa làm gió) giống như Deep Research của OpenAI á. Mỗi ngày được miễn phí 300 Credits để nghiên cứu. Mỗi lượt nghiên cứu tiêu tốn tuỳ thuộc vào độ phức tạp của yêu cầu. À với cả họ đang có chương trình tặng miễn phí Credits hay sao á. Như mình thì vào thấy được hẳn 2000.

    Mình dùng thử, so sánh với cùng một lệnh giống như đợt trước dùng bên Deep Research thì nội dung khác biệt nhau hoàn toàn. Manus báo cáo như kiểu viết văn hơn so với OpenAI là các gạch đầu dòng và bảng biểu.

    À lúc đăng ký xong có bắt nhập số điện thoại để xác minh, nếu lỗi thì các bạn đợi qua ngày thử lại xem có được không nhé.

    » Xem thêm
  • Mọi người chắc nghe nhiều về xu hướng tìm kiếm thông tin bằng AI chứ không cần công cụ tìm kiếm như Google nữa rồi đúng không? Không đâu xa ánh xạ vào bản thân thì thấy đúng thật, thi thoảng mới tìm kiếm thôi chứ còn đâu toàn hỏi tụi AI.

    Ngay từ đầu viết blog, thứ mà mình hướng đến là chia sẻ kinh nghiệm chứ không phải là những bài mang nặng tính kỹ thuật, máy móc, hướng dẫn từ đầu... Vì thời điểm đó đã có quá nhiều người làm nội dung này rồi và họ làm rất tốt, tại sao mình phải cố phát minh lại bánh xe? Một điều nữa là tin tưởng độc giả của mình có khả năng tìm hiểu vấn đề. Nếu bạn đọc đủ nhiều các bài viết trên blog thì thấy mình luôn cố gắng chèn thêm các liên kết tham khảo ngoài bài viết, nêu ra vấn đề mở và rất ít khi kết luận chắc chắn một điều gì đó.

    Mình đã cố gắng rèn luyện kỹ năng viết, kỹ năng trình bày và cả cách tương tác với độc giả để mang lại giá trị cho họ. Nhiều lúc ngồi lật lại các con số thống kê thấy lượng đọc bài viết tăng lên lại cảm thấy vui. Nhưng khi nguồn truy cập đến từ Google thì lại thấy buồn, vì điều đó chứng tỏ họ biết đến mình chỉ khi đang cố đi tìm giải pháp, có thể họ chỉ đọc chớp nhoáng, may ra tìm được cách giải quyết và thế là đóng cửa sổ trình duyệt rồi đi như một cơn gió.

    Chừng vài tháng đổ lại đây, một điều khiến mình rất vui đó là lượng người truy cập thẳng vào trang chủ mà không thông qua công cụ tìm kiếm đang tăng dần lên, có nhiều hôm lượng truy cập tự nhiên còn cao hơn cả đến từ Google. Điều đó chứng tỏ độc giả đã có thói quen quay lại trang của mình nhiều hơn và họ tìm thấy được giá trị từ blog mang lại. Vui mừng khôn xiết 🤩

    Bên cạnh đó thì lượng truy cập vào chuyên mục Threads - tức là mục mình đang viết bài này đang cao hơn bao giờ hết. Điều đó chứng tỏ xu hướng đi theo tin nhanh là đúng đắn. Mình có thể ngồi cả ngày để viết tin ngắn cho bạn đọc vì nó rất nhanh mà tiện, không tốn công đi tìm tài liệu để viết, không tốn cả thời gian viết nữa, còn mình thì có rất nhiều thứ để chia sẻ 😅. Nhưng không vì thế mà bỏ bê các bài viết dài, vì dài thì có nhiều thông tin để chia sẻ hơn.

    Vài lời tâm sự thế thôi chứ hơn một tháng nay mình chưa viết bài viết mới nào vì công việc bận quá. Xong lâu dần cứ trì hoãn lại thành lười. À với cả tháng 5 này rất thích hợp để đọc các cuốn sách về cách mạng á. Có hôm đọc đến 2 giờ sáng mới đi ngủ 🥱

    » Xem thêm
  • Mình mới nhìn thấy một trang web khá thú vị nói về các cột mốc đáng nhớ trong lịch sử phát triển Internet toàn cầu: Internet Artifacts

    Chỉ từ 1977 - khi Internet còn nằm trong hộp thí nghiệm thì nhìn xem - giờ đây Internet đã khiến mọi thứ phát triển đến mức nào 🫣

    » Xem thêm

Vấn đề

Bảo vệ trang web cũng như bảo vệ người dùng trang web của bạn khỏi những mối nguy hiểm trên mạng internet luôn là nhiệm vụ quan trọng. Bởi không ai muốn trang web của mình bị phá hoại hay thậm chí gây ra những thiệt hại nghiêm trọng cho người dùng.

Đặc tả kỹ thuật liên tục được cập nhật những quy tắc mới nhằm tìm ra giải pháp ngăn chặn hoặc chí ít giảm thiểu những mối lo ngại tiềm tàng cho trang web và cả người dùng của bạn.

HSTS là một trong những đặc tả cách ngăn chặn tấn công trang web bằng hình thức chuyển hướng website không an toàn. Vậy thì HSTS là gì và cơ chế họat động của nó ra sao? Mời các bạn đọc tiếp bài viết dưới đây.

HSTS là gì?

HTTP Strict-Transport-Security (HSTS) thông báo cho các trình duyệt rằng trang web chỉ nên được truy cập bằng HTTPS và những lần truy cập tiếp theo trong tương lai nếu người dùng nhập HTTP sẽ tự động được chuyển đổi thành HTTPS. Nghe thì có vẻ giống "chuyển hướng" (redirect) trang web từ HTTP sang HTTPS bình thường nhưng sự khác nhau ở chỗ nếu áp dụng HSTS thì trình duyệt của bạn sẽ xử lý việc chuyển hướng này thay vì máy chủ.

Khả năng tấn công trong thực tế

Khả năng tấn công trong thực tế

Nếu một trang web chuyển hướng từ HTTP sang HTTPS bằng thiết lập của Web Server chẳng hạn như Nginx, ban đầu người truy cập HTTP sẽ nhận được phản hồi không mã hóa trước khi được chuyển sang HTTPS. Ví dụ: nếu truy cập vào http://2coffee.dev hoặc thậm chí là 2coffee.dev, bạn sẽ thấy trình duyệt phải đợi nhận được phải hồi để chuyển hướng đến https://2coffee.dev. Điều này tạo cơ hội cho một cuộc tấn công trung lộ (man-in-the-middle). Hành vi chuyển hướng có thể bị lợi dụng để chuyển hướng người dùng truy cập đến một trang web độc hại thay vì phiên bản an toàn của trang gốc.

HSTS thông báo cho trình duyệt rằng nó không bao giờ được tải một trang web bằng HTTP, thay vào đó nó phải tự động chuyển đổi tất cả truy cập trang web bằng HTTP sang HTTPS.

Hãy tưởng tượng bạn đang truy cập vào một điểm truy cập Wi-Fi miễn phí và bắt đầu lướt web, truy cập vào dịch vụ ngân hàng trực tuyến để kiểm tra số dư và thanh toán một vài hóa đơn. Thật không may, điểm truy cập bạn đang sử dụng thực sự là máy tính xách tay của tin tặc và chúng đang chặn yêu cầu HTTP ban đầu của bạn để chuyển hướng bạn đến một trang web giả mạo của ngân hàng thay vì trang web thật. Bây giờ dữ liệu cá nhân của bạn có nhiều nguy cơ bị lộ.

HSTS giải quyết vấn đề này. Miễn là bạn đã truy cập trang web ngân hàng của mình một lần bằng HTTPS và trang web có sử dụng HSTS, trình duyệt của bạn sẽ tự động sử dụng HTTPS, điều này ngăn chặn kẻ tấn công thực hiện hành vi trung gian này.

Cơ chế hoạt động

Lần truy cập đầu tiên vào một trang web HTTPS và nó trả về thuộc tính Strict-Transport-Security trong heades, trình duyệt sẽ ghi lại thông tin này để các lượt truy cập trang web bằng HTTP trong tương lai sẽ được thay thế bằng HTTPS.

strict-transport-security: max-age=15724800; includeSubDomains

Khi thời gian hết hạn (max-age) được chỉ định bởi Strict-Transport-Security kết thúc thì mọi thứ hoạt động bình thường như trước khi có HSTS. Nhưng đừng lo, bất cứ khi nào strict-transport-security được gửi đến trình duyệt, nó sẽ cập nhật thời gian hết hạn cho trang web đó, vì vậy nếu người dùng truy cập trang web thường xuyên, max-age sẽ được gia hạn thường xuyên. Nếu cần thiết phải tắt HSTS, chỉ cần đặt max-age=0.

Cách triển khai

Cách triển khai

Dù đang sử dụng bất kì webserver gì, mục tiêu là chúng ta thiết lập thêm một thuộc tính Strict-Transport-Security vào trong headers phản hồi của HTTP request.

Ví dụ nếu dùng Nginx, mở file cấu hình nginx và thêm một dòng.

server {
    listen 443 ssl;

    ...

    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
    ...

Tham khảo: HTTP Strict Transport Security (HSTS) and NGINX.

Trình duyệt Chrome cung cấp trang web hstspreload.org là nơi bạn có thể khai báo địa chỉ trang web của mình để làm cơ sở dữ liệu cho việc ưu tiên áp dụng HSTS. Tức là nếu trang web của bạn có mặt trong danh sách thì kể cả lần truy cập đầu tiên bằng HTTP thì nó đã biết trang web của bạn có HSTS và tự động áp dụng quy tắc bảo mật.

Tổng kết

HSTS là một trong những nỗ lực của trình duyệt nhằm ngăn chặn những kẻ tấn công nhằm vào khác hàng sử dụng trang web của chúng ta. Qua bài viết này tôi hy vọng mọi người biết đến sự có mặt của HSTS từ đó nâng cao khả năng bảo mật trang web của mình hơn.

Cao cấp
Hello

5 bài học sâu sắc

Mỗi sản phẩm đi kèm với những câu chuyện. Thành công của người khác là nguồn cảm hứng cho nhiều người theo sau. 5 bài học rút ra được đã thay đổi con người tôi mãi mãi. Còn bạn? Hãy bấm vào ngay!

Mỗi sản phẩm đi kèm với những câu chuyện. Thành công của người khác là nguồn cảm hứng cho nhiều người theo sau. 5 bài học rút ra được đã thay đổi con người tôi mãi mãi. Còn bạn? Hãy bấm vào ngay!

Xem tất cả

Đăng ký nhận thông báo bài viết mới

hoặc
* Bản tin tổng hợp được gửi mỗi 1-2 tuần, huỷ bất cứ lúc nào.

Bình luận (0)

Nội dung bình luận...