Mozilla強化Firefox HSTS安全瀏覽機制

為了強化使用者隱私與安全性，Mozilla為Firefox內建一組網域名單，以強化HSTS安全瀏覽機制對使用者的保護。

Mozilla透過安全部落格指出，已經為 Firefox瀏覽器加入一系列網域名單，預設需要透過HSTS (HTTP Strict Transport Security)安全連線才能存取。

HSTS是一種為確保網路瀏覽安全的機制，當瀏覽器接收到來自網站主機的HSTS政策宣告時，瀏覽器就只能透過https安全協定連上該網站而不能使用http；而如果瀏覽器無法確定連線是否安全時，就會出現錯誤訊息，無法連線瀏覽。

Mozilla解釋，HSTS是為確保隱私與資料安全性的有效工具，然而如果瀏覽器首次連到某個網站時未接收到網站主機HSTS的header，就不知道是否要建立安全連線。因此有心駭客將可能阻撓瀏覽器接收伺服器的正確訊息。這也是為什麼Firefox決定內建一組強迫以HSTS連線的主機名單。

這份名單是以Google Chrome名單為基礎發展而成。Firefox是對Chrome名單上有mode:force-https的主機發出呼叫，只有以HSTS header及適當max-age value (資訊片存活時間的秒數)回覆的網站才會包含到Firefox的名單中，此外，如果Chrome名單中的網站的includeSubdomains值和Firefox接收到主機回覆的header相符的話，也會被加入名單中。

Mozilla表示，HSTS結合Firefox預建安全連線主機名單，將能大幅強化使用者安全。目前這項功能包含於Firefox Beta版，因此Mozilla推薦使用者下載最新版本。（編譯/林妍溱）