¿Debería ser la mejor práctica forzar el redireccionamiento 301 además del encabezado de Seguridad de transporte estricto?

Navega tus respuestas
1

He entendido la guía para usar el encabezado Strict-Transport-Security para las conexiones a través de HTTP.

A primera vista, parece que 301 redireccionar el tráfico HTTP que viene a través de HTTPS está destinado a lograr el mismo efecto. Sin embargo, como sabemos por preguntas como es un redireccionamiento de HTTP 301 a HTTPS, ¿inseguro? , las redirecciones 301 en realidad no crean una seguridad perfecta.

Entonces, sí, la redirección 301 realmente no previene el ataque MITM, pero me parece que puede ayudar a prevenir ataques de escuchas ilegales. Entonces, suponiendo que nos preocupe la divulgación de información de la respuesta del servidor, ¿hay alguna razón por la que no sería una buena práctica redireccionar siempre el tráfico HTTP entrante 301 además de usar el encabezado Strict-Transport-Security ?

    
pregunta Tim Lovell-Smith 18.11.2016 - 18:28
fuente

1 respuesta

7

Sí, absolutamente. Si implementa Seguridad de transporte estricta de HTTP (HSTS), también debe crear una redirección explícita de HTTP a HTTPS. Esto también beneficiará a los clientes que no implementaron el estándar HSTS.

Si desea enviar su sitio web a la Lista de precarga de HSTS este comportamiento es incluso obligatorio:

  

Para ser aceptado en la lista de precarga de HSTS a través de este formulario,   su sitio debe satisfacer los siguientes requisitos:

     
  1. Sirve un certificado válido.
    2.   
  2. Redirecciona de HTTP a HTTPS en el mismo host.
    3.   
  3. Sirve todos los subdominios a través de HTTPS. (...)
    4.   
  4. Sirva un encabezado HSTS en el dominio base para las solicitudes HTTPS: (...)
    5.   

Tenga en cuenta que la redirección 301 logra no lo mismo que HSTS. Ambas técnicas redirigen a un usuario de HTTP a HTTPS pero con HSTS, el navegador recordará usar HTTPS en ese sitio hasta que se alcance un tiempo de espera especificado. HSTS es de confianza en el primer uso, por lo que un usuario solo es vulnerable la primera vez que ingresa mybank.com en la barra de direcciones. Después de eso, un atacante no puede engañarlo para que vuelva a visitar la versión HTTP.

Pregunta relacionada: ¿Cuál es la diferencia entre usar HSTS y hacer una redirección 301?

    
respondido por el Arminius 18.11.2016 - 18:53
fuente

Lea otras preguntas en las etiquetas

AES-256 descifrado después de la destrucción de la clave. ¿Posible o no? Un archivo que no permite copiar / pegar o imprimir