¿Cuáles son las implicaciones de eliminar SECURE_HSTS_INCLUDE_SUBDOMAINS = Verdadero con Django?

Navega tus respuestas
2

En este momento, los enlaces de confirmación de correo electrónico de mi sitio django no se pueden hacer clic durante unos 60 segundos. Sin embargo, si los abro con el botón derecho, se abren en una nueva ventana de incógnito, funcionan.

Tengo la siguiente configuración, por lo que los 60 segundos tienen sentido. 

SECURE_HSTS_SECONDS = 60

Esto, al menos desde mi entendimiento, se debe a esta configuración en mi configuración de producción.py 

SECURE_HSTS_INCLUDE_SUBDOMAINS = env.bool(
    'DJANGO_SECURE_HSTS_INCLUDE_SUBDOMAINS', default=True)

Cuando elimino la configuración de subdominios de inclusión, puedo hacer clic en mis enlaces y todo está bien. Quiero que los usuarios puedan registrarse, pero tampoco quiero comprometer la seguridad.

El enlace de confirmación de mi correo electrónico también se envía como http, a diferencia de https. Estoy intentando que el enlace se genere como https, pero no he tenido éxito. ¿Qué tan grande es el riesgo de enviar las confirmaciones por correo electrónico como http plantean?

Actualmente estoy usando mailgun para manejar mis correos electrónicos y no son compatibles con HSTS. Así que estoy tratando de averiguar qué tan necesario es el HSTS, y si simplemente no debería preocuparme por ello, o buscar otro servicio / solución.

Aquí está otra publicación que hice en StackOverflow tratando de resolver todo esto si desea más detalles.

Gracias de antemano. Estuve atrapado en esto por semanas.

    
pregunta Sam Piecz 02.04.2018 - 19:03
fuente

1 respuesta

1

HSTS obliga al navegador a usar HTTPS y lo protege de ser víctima de ataques de degradación de protocolo a HTTP.

Básicamente, obliga a todo a usar HTTPS y garantiza una comunicación segura entre el navegador y el servidor para evitar la pérdida de información confidencial a través de una conexión clara. La forma en que funciona es SI, si el navegador ha visitado el sitio web con anterioridad Y ha visto el HSTS para el sitio web anteriormente, siempre forzará una conexión segura. Si no tiene el encabezado HSTS anteriormente, entonces los usuarios de su sitio aún pueden ser vulnerables a un ataque SSL, ya que el atacante puede eliminar el encabezado HSTS.

Esta comunicación se utiliza entre el visitante de su sitio web y su servidor. Normalmente este encabezado no debería ser relevante para Mailgun a menos que haya incluido un subdominio que apunte a Mailgun. La razón por la que no se puede usar HSTS es que obligará a los subdominios a usar un certificado SSL válido. Sin embargo, el certificado SSL no será válido ya que apunta al dominio de mailgun y no al tuyo.

¿Es este un problema de seguridad? Es un riesgo menor, hay varias condiciones que deben ocurrir para que alguien pueda recuperar información confidencial a través de un subdominio. Siempre que ejecute su servidor web HTTPS solo en el dominio principal y su enlace de activación no llame directamente a su sitio web, debería estar bien.

La otra opción que tiene es enviar los enlaces de activación desde un dominio separado.

    
respondido por el Lucas Kauffman 02.04.2018 - 19:49
fuente

Lea otras preguntas en las etiquetas

Firmas digitales múltiples [cerrado] ¿Qué se puede hacer con Blind SSRF?