Estoy trabajando en un artículo para el trabajo y busco una lista de los mejores 500 sitios web (clasificados por Alexa ) que aún no tiene soporte para HSTS. ¿Existe tal lista? No obtengo ningún resultado interesante de mis consultas de Google.
Además de revisar todos los sitios web uno por uno , ¿alguien podría ofrecer un método para lograr esto?
Suponiendo que ya tienes una lista de nombres de dominio delimitados por una nueva línea, usa un script como este que toma la lista en un archivo especificado por el primer argumento o la entrada estándar:
#!/bin/bash
while IFS= read -r s; do
curl -sI "https://$s" | grep -qiE "^Strict-Transport-Security:" || echo "$s"
done < "${1:-/dev/stdin}"
exit 0
Esto generará una lista de dominios a la salida estándar que están arriba, pero que no envían los encabezados HSTS estándar a través de HTTPS. Esto no significa que ciertos subdominios no usen HSTS, y no significa que todos los sitios que envían encabezados de HSTS lo están haciendo correctamente. Comprobar si el HSTS es sintácticamente válido requeriría una expresión regular mucho más compleja.
@ forest's answer cubre este pozo, así que para no recauchutarse, querrá conectarse a cada sitio y verificar los encabezados devueltos, esto podría hacerse usando HEAD si desea reducir la cantidad de datos devueltos.
Querrá usar uno de los siguientes enlaces:
Chrome es un poco más difícil, primero debes usar esto:
para encontrar el hash para una versión determinada, luego cárguelo
enlace hash /net/http/transport_security_state_static.json?format=TEXT
donde hash es el hash que obtuviste del paso anterior.
Necesitará que Base64 decodifique el resultado.
Lea otras preguntas en las etiquetas web-browser tls http webserver hsts