Respuesta corta: Realmente no importa. La respuesta más larga sigue.
¿Qué es HSTS de todos modos?
HSTS, o HTTP Strict Transport Security, es un encabezado de respuesta HTTP que se puede configurar para los navegadores web para forzar las conexiones TLS. Un encabezado típico tiene este aspecto:
Strict-Transport-Security: max-age=31536000; includeSubDomains
Sin embargo, solo este encabezado no cifra las comunicaciones.
Este encabezado debe enviarse a través de una conexión TLS antes de que pueda ser efectivo.
conexiones TLS
Las conexiones TLS, o el HTTPS más general, cifran las comunicaciones del navegador al servidor en tránsito y proporcionan una verificación de integridad. Al aprovechar HSTS, es una mejora que le dice al navegador que nunca intente conexiones a HTTP simple. Este es un enfoque aditivo para garantizar que la comunicación solo ocurra a través de HTTPS.
¿Qué quiere decir con enfoque aditivo?
Lo que se quiere decir aquí es que la línea de base es HTTPS. Este es un requisito antes de que se puedan considerar los HSTS y otros medios. La mayoría de las personas, incluido yo mismo, no tenemos la costumbre de escribir https://www.example.com
, sino que escriben www.example.com
o simplemente example.com
y esperamos que el servidor maneje la redirección de HTTP a HTTPS. Esta facilidad de uso presenta la oportunidad de modificar las cookies y otros datos antes de que la víctima sea redirigida de HTTP a HTTPS. HSTS intenta resolver esto diciéndole al navegador que nunca vaya a HTTP y solo vaya a HTTPS.
El indicador secure
en las cookies le dice al navegador que no envíe esas cookies a través de HTTP y en su lugar solo las envíe a través de HTTPS. Esto evita que las herramientas de ataque como SSLStrip
obtengan los datos de las cookies. HSTS agrega otra capa encima del indicador de seguridad y le dice al navegador que, además de no enviar nunca cookies a través de HTTP, nunca envíe datos a través de HTTP.
Tu receta se ve así:
TLS:
- Secure flag on cookies
- HSTS
No se requiere HSTS para una comunicación segura, a menos que la política de su empresa lo requiera.
DDoS
La situación en la que un atacante busca 404 u otras respuestas no es un gran problema porque simplemente puede enviar solicitudes de páginas que resulten en 200 códigos de respuesta.
Dije que realmente no importa al principio de esta respuesta. La razón es que la escritura de encabezados de respuesta en el LB ocurrirá para las páginas que no sean 404 de todos modos, por lo que una situación DDoS que se describe no sería una preocupación mía.