¿Es necesario aplicar el encabezado de seguridad de transporte estricto (HSTS) a páginas que no sean 200 de respuesta (por ejemplo, 403, 302)

6

Tengo una aplicación que está protegida por Cloudflare. La aplicación responde con un HSTS en todas las demás páginas, excepto el estado HTTP 403 Prohibido y 302 Movido temporalmente. Parece que Cloudflare es el responsable de ello. También hay algunos recursos (JS) que no tienen el HSTS aplicado, pero que está fuera de tema para esta pregunta.

Mi intuición dice que todas las páginas (y recursos) deben tener HSTS porque, aunque es poco probable, alguien escribió mal la url e indujo un prohibido, sería vulnerable a ataques como sslstrip.

    
pregunta Anderson 13.07.2018 - 16:24
fuente

1 respuesta

8

Si bien no es bueno, y debería estar arreglado, probablemente no sea tan malo como crees. HSTS se aplica a dominios , por lo que tan pronto como una respuesta incluya el encabezado Strict-Transport-Security , el navegador forzará que todas las solicitudes redirijan a HTTPS para todo el dominio (y posiblemente subdominios, dependiendo de la configuración).

Los usuarios finales rara vez acceden directamente a recursos como JavaScript y CSS, por lo que el encabezado HSTS debe recibirse antes de que estos recursos se soliciten de todos modos.

Si hay un MitM y el usuario no ha visitado el sitio antes (o la edad máxima del encabezado HSTS ha pasado) y el sitio no se encuentra en lista de precarga , no importará que algunas respuestas lo incluyan y otras no; MitM puede usar ssl-strip de cualquier manera. HSTS solo funciona después de que el navegador lo haya visto, si está visitando un sitio por primera vez a través de HTTP, es vulnerable a menos que esté en la lista de precarga.

    
respondido por el AndrolGenhald 13.07.2018 - 16:45
fuente

Lea otras preguntas en las etiquetas