¿Cómo puedo forzar a cierto cliente del sitio web a respetar o recordar ciertos parámetros del servidor web?

Navega tus respuestas
1

HTTPS está sujeto a varios ataques MITM, eso está claro. Sin embargo, creo que sería útil para la multitud de ITSec si hubiera una manera de forzar un determinado comportamiento del navegador al acceder a sitios de confianza conocidos.

Según mi conocimiento (promedio) de los vectores MITM, sería beneficioso asegurar dominios específicos con un comportamiento del cliente / navegador que obligó a cualquiera de las siguientes configuraciones:

  • Use solo HTTPS cuando conecte el dominio X

  • Requiere un encabezado If-Modified-Since . Idealmente, quiero que el contenido almacenado en caché nunca caduque, independientemente de lo que diga el "servidor".

  • Requerir cookies de SSL solamente. Estoy buscando una forma para que el navegador requiera cookies solo de SSL por nombre de dominio DNS y posiblemente por nombre de cookie.

  • Ignora las redirecciones 30x.

En última instancia, me gustaría tomar las recomendaciones y darles formato en una guía de seguridad para el usuario final, o implementarlas internamente en todos los clientes internos, al conectarse a una lista segura de sitios web.

    
pregunta random65537 01.10.2011 - 01:44
fuente

2 respuestas

2

HTTP Strict Transport Security (HSTS), una función introducida por Chrome ( enlace ) es un buen paso hacia la seguridad contra MITM.

Las otras opciones que mencione estarían seguras de romper muchos sitios. Requerir cookies de marca segura por ejemplo (y, por lo tanto, ignorar las que no tienen?) Rompería muchos sitios, al igual que ignorar los 302.

    
respondido por el chris 01.10.2011 - 13:53
fuente
1

Si usa Firefox: instale HTTPS en todas partes. Tiene una lista de sitios que admiten SSL y se asegurará de que el navegador siempre se conecte a ellos mediante https cifrados con SSL (nunca sobre http sin cifrar).

(Si está realmente preocupado por la seguridad, también podría agregar NoScript. Sin embargo, es probable que sea difícil de usar para el usuario final, por lo que no lo recomiendo, si es para uso general ..)

No estoy tan seguro de los otros comportamientos que desea aplicar. Me preocupa que puedan "romper la red": pueden hacer que muchos sitios web no funcionen. Eso podría ser problemático. Si las personas descubren que su navegador no funciona para muchos sitios que les interesan, existe una gran posibilidad de que cambien a un navegador diferente si pueden (o maldigan al departamento de TI, si no pueden). En cualquier caso, independientemente de la conveniencia, no tengo un software preempaquetado que haga lo que usted quiere; probablemente necesitarás construir tu propia extensión.

    
respondido por el D.W. 01.10.2011 - 08:59
fuente

Lea otras preguntas en las etiquetas

¿Cuál es su experiencia con AlertLogic? ¡Consultas de DNS con una cadena hexadecimal que es un SHA1 de un nombre de dominio! ¿Es un malware?