¿Es útil el encabezado HSTS para aplicaciones móviles?

Navega tus respuestas
2

Estoy usando HSTS (Strict-Transport-Security Header) para aplicaciones web. Por lo que sé, el navegador guarda esa información y cuando un usuario intenta conectarse a mi sitio web, el navegador la carga a través de HTTPS directamente. Así se evitan los ataques MITM.

También tengo una aplicación móvil que habla con una API web a través de HTTPS. ¿Debo implementar el encabezado HSTS para eso? Mi opinión es que no proporcionará ninguna seguridad adicional ya que no hay ningún navegador que mantenga esa información de encabezado HSTS para la API web. ¿Estoy en lo correcto?

    
pregunta Ivan Todorov 29.03.2017 - 20:01
fuente

2 respuestas

1

Estás en lo correcto. Realmente no habría ningún punto aquí. Solo sería útil si alguien elige golpear directamente la api desde un navegador, pero si no hay un caso de uso para eso, entonces no es necesario.

    
respondido por el joe 29.03.2017 - 20:07
fuente
1

De acuerdo con Joe , el navegador HSTS es útil para los navegadores, ya que los navegadores saben cómo hacerlo. interpretarlo Una aplicación móvil no lo hace, a menos que usted (o un marco) se lo indique.

Además, es probable que tenga una URL codificada ( enlace ) en su aplicación de todos modos, por lo que no llegará al servicio en ningún servicio que no sea https. conexión. Si un navegador (SPA) utiliza la misma API, esa es una historia diferente, pero con el único propósito de una aplicación móvil, no hace ninguna diferencia tener el encabezado HSTS allí.

    
respondido por el ndrix 29.03.2017 - 22:11
fuente

Lea otras preguntas en las etiquetas

¿Cómo evitar la fuga accidental de datos / documentos en un mundo virtual? Comprender cómo funcionan las contraseñas de Linux openssl