HSTS(HTTP Strict Transport Security)
- Web Site에 접속할 때, 강제적으로 HTTPS Protocol로만 접속하게 하는 기능이다.
- 즉, HTTPS Protocol을 지원하는 웹 사이트에서 HTTPS Protocol만을 사용해서 통신할 수 있음을, 접속하고자 하는 브라우저에게 알려주고 브라우저에게 HTTPS Protocol만 사용하도록 강제하는 기능이다.
- 이는 해커와 같은 공격자가 중간자공격을 하여 중간에 Proxy Server를 두고, 사용자와는 HTTP 통신을 하고 실제 웹 사이트와는 HTTPS 통신을 해도 사용자는 이를 인식하지 못하며, 사용자와 실제 웹 사이트가 주고 받는 모든 정보는 공격자에게 노출되게 된다. 이를 SSL Stripping 공격이라고 하며 이를 방지하기 위해 HSTS 기능을 사용한다.
* HTTP 대신 HTTPS를 사용해야하는 이유
1. 데이터 보안 : HTTP는 데이터를 평문으로 전송한다.. 따라서 로그인과 같은 중요한 정보를 전송할 때, 이 데이터가 중간에서 가로채지거나 도청될 수 있습니다. HTTPS는 데이터를 암호화하여 보내므로 중간에서 데이터를 읽는 것이 거의 불가능하다.
2. 중간자 공격 방지 : HTTP 연결은 중간에서 공격자에 의해 변조될 수 있다. 공격자가 중간에서 데이터를 변경하거나 주입할 수 있으므로, 이러한 공격을 방지하기 위해 HTTPS를 사용해야 한다.
* 정리
- 데이터 보안과 중간자 공격 방지를 위해 HTTP 대신 HTTPS를 사용해야 한다. HTTPS를 사용하면 HSTS 기능을 사용할 수 있으며 이는 브라우저에게 HTTPS Protocol만을 사용하도록 강제하여 중간자공격을 방지할 수 있다.
학습 단계로 잘못된 정보가 있을 수 있습니다. 잘못된 부분에 대해 알려주시면 정정하도록 하겠습니다
참고 : https://m.blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=aepkoreanet&logNo=221575708943