Hampir seminggu saya tidak menulis. Dengan update terbaru Google Chrome, akhirnya laman sesawang Jebengotai.com telah dimasukkan kedalam senarai HSTS Preload. Beberapa bulan yang lepas, saya telah menulis berkenaan dengan kepentingan HSTS ini. Ada beberapa kebaikkan dan keburukkan jika kita menggunakan modul ini. Terdapat perbezaan antara Redirect 301 untuk http ke https. Antaranya ialah HSTS Preload akan di ‘hardcode’ kedalam browser seperti Chrome, Mozilla, Safari, Microsoft Edge dan beberapa browser yang lain tapi bukan kesemuanya.
HSTS Preload : Tingkat Keselamatan
Terdapat kelemahan menggunakan protokol HTTPS sahaja. Antaranya pengguna masih berhubung melalui port HTTP, sebelum dialihkan ke laman sesawang yang menggunakan HTTPS. Kelemahan ini seringkali digunakan oleh MiTM atau orang tengah yang berniat jahat untuk menggunakan data peribadi kita untuk tujuan tertentu. Risiko tinggi untuk kecurian data ini berlaku di tempat awam dimana terdapat WIFI yang boleh diakses oleh sesiapa sahaja. Mereka akan memintas dan menggunakan kelemahan tersebut untuk dengan menjadi perantara antara pengguna dan server laman sesawang. Data yang dimasukkan akan melalui orang tengah ini sebelum sampai ke server laman sesawang.Bahaya bukan.
HSTS Preload : Tingkat Kelajuan
HSTS dapat mengelakkan redirect http ke https kerana ianya sudah dipasang di dalam browser. Masa yang diambil dari protokol http ke https akan dapat dikurangkan dengan drastiknya. Namun, buat masa ini terdapat beberapa browser terutamanya telefon pintar tidak mempunyai fungsi ini. Jika kita membuang redirect tersebut, mungkin pengguna tidak dapat mengakses laman sesawang jika mereka memasukkan http. Server gagal untuk redirect permintaan tersebut. Buat masa ini, saya masih lagi mengekalkan redirect tersebut sehinggalah HSTS diterima oleh kesemua browser samada desktop ataupun telefon pintar.
HSTS Preload : Kelebihan VPS
Inilah fleksibiliti mempunyai VPS sendiri. Ianya boleh di pelbagaikan dan dipasang dengan ciri-ciri keselamatan pada masa kini. Mungkin juga pada masa hadapan, setiap hosting akan menggunakan fungsi ini untuk meningkatkan keselamatan para pelanggannya. Pada pendapat saya, ianya lebih banyak kelebihan dan ruang untuk berkembang lebih maju.
Wah.. informasi yang agak advance bagi saya.. terima kasih.
Banyak saya belajar dari blog tuan.
sy pon baru belajar juga…huhu
Betul tu.. kelemahan http redirect kadang2 tak berfungsi dengan cemerlang. Dan proses redirect juga mengambil masa kerana perlu membaca sijil SSL. Untunglah jika ada VPS sendiri 🙂 Tapi itulah cara terbaik buat masa sekarang memandangkan HSTS belum disokong sepenuhnya kesemua browser.
Kena bayar kan buat https ni?
Guna Lets Encrypt free je tuan Amirul.
Tip yang menarik…