Neste versjon av Internet Explorer skal, sammen med søsternettleseren Project Spartan, få støtte for sikkerhetsmekanismen HSTS (HTTP Strict Transport Security). Dette kunngjorde Microsoft i går. HSTS beskytter mot «man-in-the-middle»-angrep ved at nettsteder kan spesifisere at nettleseren alltid skal bruke en kryptert forbindelse (HTTPS) når den tar kontakt med nettstedets webserver i ettertid. Dermed vil ikke ondsinnede kunne avskjære en innledende HTTP-forespørsel og lede brukeren til en ondsinnet klone av nettstedet brukeren ønsker å besøke.
Dette kan aktivers av nettstedet ved hjelp av en egen HTTP-header (Strict-Transport-Security) fra webserveren eller ved hjelp av registrering i Chromiums-prosjektets liste. Denne listen brukes av alle nettleser som støtter HSTS, og Microsofts nettlesere skal ikke være noe unntak.
Bred støtte
Alle de andre store nettlesere har allerede støtte for HSTS, så med IE og Spartan så blir støtten så godt som komplett. Både Chrome og Firefox fikk støtte for HSTS i versjon 4, altså for 4-5 år siden. Opera 12 og nyere støtter HSTS, det samme gjør Safari 7 og nyere.
Bruk av HSTS på nettsteder krever at man har tungen rett i munnen under oppsettet, for har man først skrudd det på, vil det kunne gå lang tid før nettleserne vil godta ikke-krypterte forbindelser til dette nettstedet igjen. Årsaken er at man sammen med den nevnte headeren oppgir en forfallstid. Nettlesere som har mottatt nettstedets HSTS-utløpstidspunkt – som kan være i et antall sekunder fra besøkstidspunktet, eller et fast tidspunkt – vil ikke godta ikke-krypterte forbindelser til dette nettstedet før utløpstidpunktet har blitt passert, med mindre brukerne sletter informasjonskapslene hvor tidspunktet er lagret.
Les også: HTTPS kan gi supercookie
Samtidig må tidspunktet være så langt fram i tid at HSTS-mekanismen faktisk har en effekt når nettleserbrukeren kommer på besøk neste gang – for eksempel en måned senere.
Microsoft påpeker også at dersom det er en sertifikatfeil knyttet til en HSTS-server, vil ikke brukeren kunne ignorere feilen og klikke seg videre. Forbindelsen kan bare avbrytes. Dessuten støttes ikke en kombinasjon av sikkert og usikkert innhold («mixed content») på servere med støtte for HSTS. Alt innholdet må være sikkert.