La respuesta:
Tomemos un escenario en el que hay una máquina de víctimas (A), una máquina de ataque (B) y un servidor (C). La tira SSL se está ejecutando en la máquina del atacante, que es un servidor proxy. Por lo tanto, no hay una conexión directa entre la víctima y el servidor.
La víctima A quiere transferir dinero de su cuenta a través de un servicio de banca en línea e ingresa la siguiente URL en la barra de direcciones del navegador:
www.foobank.com/online_banking
En segundo plano, el navegador de la víctima que está conectado a la máquina del atacante espera la respuesta del servidor. El atacante B reenvía la solicitud de la víctima A y espera la respuesta del servidor del banco. La conexión entre B y C es segura, lo que significa que todo el tráfico que se transfiere entre ellos (B y C) se realiza a través del túnel SSL.
El servidor del Banco responde con la página de inicio de sesión que tiene la siguiente URL:
enlace
En esta etapa, el atacante tiene acceso a la página de inicio de sesión. A continuación, el atacante (B) modifica la respuesta del servidor de https a http y la envía a la víctima (A), lo que hace que el navegador se dirija ahora a enlace .
En este punto, la víctima tiene acceso a la página de inicio de sesión de banca por Internet con una conexión insegura con el atacante. A partir de este punto, todas las solicitudes de la víctima se enviarán en formato de texto simple y el atacante podrá rastrear los datos y recopilar las credenciales.
El servidor cree que ha establecido con éxito la conexión, que en este escenario es entre el atacante y el servidor (es decir, entre B y C), mientras que la víctima (A) también piensa que es un servidor legítimo (C ).
Entonces
SSLStrip no depende del comportamiento del servidor, depende de la
cliente. Si puede hacer que el cliente realice la solicitud a través de HTTP,
En lugar de HTTPS, puede realizar el ataque, incluso si el servidor solo
soporta HTTPS. HSTS evita que el navegador realice el plano
Solicitud HTTP en primer lugar (en solicitudes posteriores).
Conclusión:
Google solo usa HTTPS y usa el encabezado HSTS contra los ataques SSLStrip. Debido a que los ataques SSLStrip pueden ocurrir incluso si el servidor web está usando solo HTTPS.
Recurso: enlace