Necesitamos configurar nuestro loadbalancer para enviar el encabezado HSTS y estamos debatiendo si enviar o no el encabezado en las respuestas HTTP 4xx / 5xx. Nuestra principal preocupación es la capa de aplicación de ataques DDos. No queremos hacer el trabajo adicional de insertar el encabezado en caso de que un atacante empiece a atacarnos con HTTP 404 o algún otro código de respuesta de error. ¿Cuál es la forma correcta de hacer esto?
Sería conveniente forzar siempre el encabezado de Seguridad de transporte estricto de HTTP (HSTS) porque el riesgo de no cifrado puede ser mayor.
En este caso particular, es una compensación directa entre confidencialidad y disponibilidad. Para la mayoría, pero no para todas las empresas, la confidencialidad es más importante.
Si su empresa valora la confidencialidad más que la disponibilidad, entonces fuerce HSTS si la disponibilidad es más importante, entonces no.
HSTS también es especialmente útil si sus equipos de desarrollo son propensos a configuraciones de seguridad deficientes en los servidores detrás del equilibrador de carga. HSTS permite que una organización haga cumplir https, lo que en general es algo muy bueno.
Nota: En general, también hay un beneficio oculto al hacer esto en el equilibrador de carga en lugar de en la capa del servidor web. Si el equilibrador de carga responde con el encabezado HSTS, en realidad está reduciendo parte de la carga de los sistemas detrás de él y reduciendo la carga de la página de ida y vuelta del sitio a la página https. Esto reduce la carga en el servidor web en una pequeña cantidad y para algunos ataques, esto AUMENTA la carga de trabajo en el atacante.
Para referencia: enlace
Respuesta corta: Realmente no importa. La respuesta más larga sigue.
HSTS, o HTTP Strict Transport Security, es un encabezado de respuesta HTTP que se puede configurar para los navegadores web para forzar las conexiones TLS. Un encabezado típico tiene este aspecto:
Strict-Transport-Security: max-age=31536000; includeSubDomains
Sin embargo, solo este encabezado no cifra las comunicaciones.
Este encabezado debe enviarse a través de una conexión TLS antes de que pueda ser efectivo.
Las conexiones TLS, o el HTTPS más general, cifran las comunicaciones del navegador al servidor en tránsito y proporcionan una verificación de integridad. Al aprovechar HSTS, es una mejora que le dice al navegador que nunca intente conexiones a HTTP simple. Este es un enfoque aditivo para garantizar que la comunicación solo ocurra a través de HTTPS.
Lo que se quiere decir aquí es que la línea de base es HTTPS. Este es un requisito antes de que se puedan considerar los HSTS y otros medios. La mayoría de las personas, incluido yo mismo, no tenemos la costumbre de escribir https://www.example.com , sino que escriben www.example.com o simplemente example.com y esperamos que el servidor maneje la redirección de HTTP a HTTPS. Esta facilidad de uso presenta la oportunidad de modificar las cookies y otros datos antes de que la víctima sea redirigida de HTTP a HTTPS. HSTS intenta resolver esto diciéndole al navegador que nunca vaya a HTTP y solo vaya a HTTPS.
El indicador secure en las cookies le dice al navegador que no envíe esas cookies a través de HTTP y en su lugar solo las envíe a través de HTTPS. Esto evita que las herramientas de ataque como SSLStrip obtengan los datos de las cookies. HSTS agrega otra capa encima del indicador de seguridad y le dice al navegador que, además de no enviar nunca cookies a través de HTTP, nunca envíe datos a través de HTTP.
Tu receta se ve así:
TLS:
- Secure flag on cookies
- HSTS
No se requiere HSTS para una comunicación segura, a menos que la política de su empresa lo requiera.
La situación en la que un atacante busca 404 u otras respuestas no es un gran problema porque simplemente puede enviar solicitudes de páginas que resulten en 200 códigos de respuesta.
Dije que realmente no importa al principio de esta respuesta. La razón es que la escritura de encabezados de respuesta en el LB ocurrirá para las páginas que no sean 404 de todos modos, por lo que una situación DDoS que se describe no sería una preocupación mía.