¿Se puede derrotar a HSTS?

Navega tus respuestas
6

Como sé, HSTS se implementa principalmente para mitigar el famoso ataque sslstrip en el que el navegador se ve obligado a usar ssl al conectarse a un sitio en particular. Y creo que también impide que el usuario proceda al sitio si hay un problema con el certificado ssl que proporciona el sitio. ¿Hay algo más que saber sobre HSTS?

También leo información en su mayoría superficial sobre HSTS y que puede ser derrotado. Es posible ? (Excepto la forma obvia de interceptar antes de que el usuario se conecte por primera vez y bloquee el encabezado hsts)

¿Qué navegadores soportan hsts? ¿Se pueden borrar los datos de Hsts como borrar el historial del navegador y las cookies?

    
pregunta user3155036 18.06.2014 - 01:15
fuente

1 respuesta

9
  

¿Hay algo más que saber sobre HSTS?

Los dos ataques clave que mitiga son sslstrip y MITM con certificados autofirmados (como el del gobierno sirio contra Facebook ). También puede ayudar a mitigar los problemas de implementación de HTTPS que podrían provocar ataques de estilo fuego de fuego.

  

puede ser derrotado. ¿Es esto posible?

Como usted dijo, la principal limitación de HSTS es una conexión inicial a través de HTTP que hace posible un ataque sslstrip. Se ha propuesto DNSSEC como respuesta a esto, pero aún no se ha implementado. Dado el alcance limitado de los HSTS, otros medios para derrotarlo probablemente se basarán en otros vectores de ataque.

  

¿Qué navegadores admiten hsts?

Al momento de escribir, Firefox, Chrome, Safari y Opera en el escritorio, Firefox, Chrome y el navegador predeterminado en Android y Opera Mobile. Total 57.84% de usuarios globales según StatCounter.

Fuente, y para actualizaciones: enlace

  

¿Se pueden borrar los datos de Hsts como borrar el historial del navegador y las cookies?

Sí. Cómo hacerlo para Firefox . Al igual que al borrar el historial del navegador y las cookies, esto no debería ser accesible desde javascript ejecutado en una página (y sería un gran agujero de seguridad si lo fuera).

    
respondido por el Colin Pickard 18.06.2014 - 11:45
fuente

Lea otras preguntas en las etiquetas

¿Cómo las redes inalámbricas abiertas (sin contraseña) tratan el abuso? ¿Alguna forma de probar que dos dispositivos están en el mismo espacio físico, para la autenticación?