বিবিসি কীভাবে উন্নত নিরাপত্তা এবং কর্মক্ষমতার জন্য HSTS চালু করছে।

নিরাপত্তা এবং কর্মক্ষমতা উন্নত করতে বিবিসি তাদের ওয়েবসাইটের জন্য HSTS চালু করছে। এর অর্থ কী এবং HSTS কীভাবে আপনাকে সাহায্য করতে পারে তা খুঁজে বের করুন।

জেরেমি ওয়াগনার

সাম্প্রতিক বছরগুলিতে HTTPS গ্রহণ ক্রমাগত বৃদ্ধি পাচ্ছে। এইচটিটিপি আর্কাইভের 2021 ওয়েব অ্যালম্যানাক অনুসারে, ডেস্কটপ এবং মোবাইল উভয়ের জন্য প্রায় 91% অনুরোধ HTTPS-এর মাধ্যমে দেওয়া হয়েছিল । এইচটিটিপিএস শুধু এখানে থাকার জন্য নয়, সার্ভিস ওয়ার্কার এবং আধুনিক প্রোটোকল যেমন HTTP/2 এবং HTTP/3 এর মতো বৈশিষ্ট্যগুলি ব্যবহার করার জন্য এটি একটি প্রয়োজনীয় পূর্বশর্ত।

সম্প্রতি নীল ক্রেগ — BBC-এর একজন প্রধান প্রযুক্তিগত স্থপতি — টুইট করেছেন যে HTTP স্ট্রিক্ট ট্রান্সপোর্ট সিকিউরিটি (HSTS) ধীরে ধীরে bbc.com- এর জন্য চালু করা হচ্ছে ৷ আসুন BBC এর জন্য এর অর্থ কী এবং আপনার জন্য এর অর্থ কী তা খুঁজে বের করা যাক।

সমস্যাটি

ওয়েব সার্ভারগুলি প্রায়শই 80 এবং 443 উভয় পোর্টে অনুরোধের জন্য শোনে। পোর্ট 80 হল অনিরাপদ HTTP অনুরোধের জন্য, যেখানে 443 নিরাপদ HTTPS-এর জন্য। এটি একটি সমস্যা তৈরি করতে পারে, কারণ আপনি যখন https:// প্রোটোকল উপসর্গ ছাড়াই আপনার ঠিকানা বারে একটি ঠিকানা প্রবেশ করান — যেমনটি বেশিরভাগ ব্যবহারকারী করে থাকেন — কিছু ব্রাউজার উত্তরাধিকারের কারণে ( যদিও এটি সবসময় হয় না )।

ব্যবহারকারীরা একটি ওয়েবসাইটের একটি অনিরাপদ সংস্করণ অ্যাক্সেস না করে তা নিশ্চিত করার একটি সাধারণ উপায় হল সমস্ত অনুরোধের জন্য একটি HTTP-টু-HTTPS পুনঃনির্দেশ করা। এটি অবশ্যই কাজ করে, তবে এটি নিম্নলিখিত ইভেন্টের চেইন বন্ধ করে দেয়:

  1. সার্ভার HTTP এর মাধ্যমে একটি অনুরোধ গ্রহণ করে।
  2. সার্ভার অনুরোধ করা সম্পদের সমতুল্য HTTPS-এ যাওয়ার জন্য একটি পুনঃনির্দেশ ইস্যু করে।
  3. HTTPS এর মাধ্যমে সার্ভারকে অবশ্যই ব্রাউজারের সাথে একটি নিরাপদ সংযোগ নিয়ে আলোচনা করতে হবে।
  4. বিষয়বস্তু যথারীতি লোড হয়.

যদিও পুনঃনির্দেশগুলি ভাল কাজ করে, সেগুলিকে এমনভাবে ভুল কনফিগার করা যেতে পারে যা এখনও কোনও সাইটের অনিরাপদ সংস্করণে অ্যাক্সেসের অনুমতি দেয়৷ এমনকি সবকিছু ঠিকঠাকভাবে কনফিগার করা থাকলেও , এখনও একটি নিরাপত্তা সমস্যা রয়েছে যাতে ব্যবহারকারী এখনও রিডাইরেক্ট পর্বের সময় অনিরাপদ HTTP-এর সাথে সংযোগ স্থাপন করবে, যা ব্যবহারকারীদের বিপজ্জনক ম্যান-ইন-দ্য-মিডল আক্রমণের সম্ভাবনাকে উন্মুক্ত করে।

HSTS লিখুন

ব্রাউজার সমর্থন

  • 4
  • 12
  • 4
  • 7

উৎস

HSTS HTTPS অনুরোধের জন্য Strict-Transport-Security HTTP প্রতিক্রিয়া শিরোনাম দ্বারা নির্দেশিত হয়। সেট করা হলে, একটি ওয়েবসাইটের রিটার্ন ভিজিট একটি বিশেষ পুনঃনির্দেশকে ট্রিগার করবে যা "307 অভ্যন্তরীণ পুনঃনির্দেশ" নামে পরিচিত, যেটি যখন ব্রাউজার সার্ভারের পরিবর্তে রিডাইরেক্ট লজিক পরিচালনা করে। এটি অনুরোধটিকে আটকাতে বাধা দেয়, যেহেতু এটি কখনই ব্রাউজার ছেড়ে যায় না, তাই আরও নিরাপদ। একটি অতিরিক্ত বোনাস হিসাবে, এই ধরনের পুনঃনির্দেশ অত্যন্ত দ্রুত, তাই HTTP-থেকে-HTTPS হপের সময় যে কোনও লক্ষণীয় বিলম্বিতা দূর করা হয়।

HTTP থেকে HTTPS-এ একটি 307 অভ্যন্তরীণ পুনঃনির্দেশ, একটি HSTS হেডার দ্বারা ট্রিগার করা হয়েছে। 307 রিডাইরেক্ট করতে মাত্র 2 মিলিসেকেন্ড সময় লাগে।

Cache-Control -এর max-age নির্দেশের মতো সিনট্যাক্সে, একটি HSTS শিরোনাম একটি max-age নির্দেশিকা নির্দিষ্ট করে। এই নির্দেশটি সেকেন্ডে একটি মান নেয় যা নির্দিষ্ট করে যে নীতিটি কতক্ষণ কার্যকর হবে:

Strict-Transport-Security: max-age=3600

উপরের উদাহরণে, নীতিটি শুধুমাত্র এক ঘন্টার জন্য কার্যকর হওয়া উচিত।

HSTS স্থাপন করা হচ্ছে

HSTS স্থাপনের প্রধান ত্রুটি হল আপনি যদি আপনার মূলকে কঠোরভাবে নিরাপদ হিসাবে বিবেচনা করতে প্রস্তুত না হন। ধরা যাক আপনার কাছে অনেকগুলি সাবডোমেন রয়েছে যেগুলি থেকে আপনি সংস্থানগুলি পরিবেশন করছেন, তবে সম্ভবত সেগুলি সবই সুরক্ষিত নয়৷ এই পরিস্থিতিতে, একটি HSTS হেডার আপনার ওয়েবসাইট ভেঙ্গে দিতে পারে।

বিবিসি এইচএসটিএস স্থাপনের জন্য সঠিক পন্থা নিয়েছে। নীল ক্রেগ তার টুইটে উল্লেখ করেছেন, bbc.com-এর জন্য প্রাথমিক মান নির্ধারণ করা হয়েছিল max-age=10

এই পদ্ধতির অর্থ হল নীতিটি প্রাথমিকভাবে শুধুমাত্র দশ সেকেন্ডের জন্য কার্যকর ছিল। এটি খুব বেশি সুবিধা প্রদান করে না, তবে ধারণাটি হ'ল এইচএসটিএস প্রয়োগ করার ক্ষেত্রে কোনও সমস্যা হতে পারে কিনা তা অনুভব করা। সময় বাড়ার সাথে সাথে, আপনি ক্রমবর্ধমানভাবে নীতি বাড়াতে পারেন এবং সমস্যাগুলি দেখা দেয় কিনা তা দেখতে পারেন। এই লেখার সময়, bbc.com max-age=86400 এর একটি HSTS নীতি নির্দিষ্ট করছে, এবং এটি সময়ের সাথে সাথে প্রায় অবশ্যই বৃদ্ধি পাবে।

HSTS মোতায়েন করার সময় আপনি অবশ্যই দীর্ঘ max-age মান নিয়ে গেট থেকে বেরিয়ে আসতে চান না। ব্যবহারকারীরা সমস্যা অনুভব করার সময় আপনি হঠাৎ সমস্যা সমাধানের জন্য নিজেকে ঘায়েল করতে পারেন। ছোট শুরু, এবং সময়ের সাথে বৃদ্ধি! যখন আপনি আত্মবিশ্বাসী হন যে সবকিছু ঠিক আছে, তখন আপনি আপনার max-age নির্দেশিকাকে অনেক দীর্ঘ সময়ের জন্য সেট করতে পারেন। এটি সম্পূর্ণরূপে চালু হয়ে গেলে max-age এক বা দুই বছর নির্ধারণ করার পরামর্শ দেওয়া হয়।

HSTS প্রিলোড তালিকার সাথে নিরাপদ এবং দ্রুত প্রাথমিক নেভিগেশন পান

একটি HSTS নীতি শুধুমাত্র একটি ওয়েবসাইটের প্রথম পরিদর্শনের পরেই কার্যকর হয়, তাই সাইটটিতে প্রথম দর্শনের জন্য সুবিধাগুলি উপস্থিত থাকে না৷ এর জন্য এখনও অনিরাপদ পুনঃনির্দেশের প্রয়োজন হবে। যাইহোক, আপনি HSTS প্রিলোড তালিকায় আপনার ওয়েবসাইট জমা দিয়ে আপনার HSTS নীতি প্রিলোড করতে পারেন, যেটি ওয়েবসাইটগুলির একটি হার্ডকোড করা তালিকা যা ব্রাউজার জানে যে কঠোরভাবে HTTPS। যখন আপনার সাইটটি প্রিলোড তালিকায় থাকে, তখন প্রথম ভিজিটও সুরক্ষিত থাকে এবং HSTS-এর মাধ্যমে HTTP-থেকে-HTTPS রিডাইরেক্ট লেটেন্সি তাৎক্ষণিক হবে।

নিজের জন্য এটি চেষ্টা করুন

যদি বিবিসি এইচএসটিএস পরীক্ষা করতে স্বাচ্ছন্দ্য বোধ করে, তবে আপনার ওয়েবসাইটের জন্যও এটি করার একটি ভাল সুযোগ রয়েছে। এটিকে আপনার ওয়েবসাইটের জন্য একটি শট দিন, এবং—যদি আপনি কিছু নতুন করে দেখতে চান—এটি HSTS প্রিলোড তালিকায় যোগ করুন যখন আপনি নিশ্চিত হন যে আপনার ব্যবহারকারীদের একটি নিরাপদ এবং দ্রুত অভিজ্ঞতা দেওয়ার জন্য কোনো বাগ নেই৷