Parece que hay un amplio apoyo a la idea de que los sitios web relacionados con las elecciones, de todas las cosas, deberían ser resistentes a los ataques de intermediarios. La boleta secreta hace que la detección y recuperación de SSL-stripping sea más difícil que el caso de uso web promedio .
Sin embargo, el análisis de Chrome precarga lista revela que casi no hay sitios web relacionados con las elecciones presentes , con la excepción del sistema de votación en línea de Swiss Post . Así que he estado tratando de alentar y promover la adopción de HSTS preload entre las agencias electorales y los proveedores de votación en línea.
Cuando las personas se encuentran con la carga de HSTS por primera vez, una de las primeras preguntas parece ser: si es tan bueno, ¿por qué no lo usan todos? Para bien o para mal, los bancos son considerados como punto de referencia para la seguridad web y, en particular, he recibido esta pregunta:
Si la precarga de HSTS es tan buena, ¿por qué los bancos no la usan?
De hecho, si compara su propia institución financiera con la lista de precarga, probablemente la encuentre ausente:
https://hstspreload.com/api/v1/status/<your bank>
Hay varias posibilidades, aunque en mi observación, si un sitio no está en la lista de precarga, el propietario del sitio suele ser:
- No sabe acerca de la lista de precarga, o
- Agregar su sitio podría romper algo en su infraestructura web.
Con los bancos, lo mejor que puedo pensar es que dependen en gran medida de una intranet interna sin cifrar que se denegaría si se agregaran a la lista. Pero eso es solo una especulación, y le agradecería a cualquier persona que tenga conocimiento de sus razones.