Preguntas con etiqueta 'hsts'

7
respuestas

¿Por qué debería ofrecer HTTP además de HTTPS?

Estoy configurando un nuevo servidor web. Además de TLS / HTTPS, estoy considerando implementar Strict-Transport-Security y otros mecanismos de cumplimiento de HTTPS. Todo esto parece basarse en el supuesto de que estoy sirviendo http://...
hecha 18.04.2017 - 15:00
5
respuestas

¿Cuál es la diferencia entre usar HSTS y hacer una redirección 301?

Si ya hice una redirección 301 de todas las páginas internas HTTP a HTTPS, ¿por qué debería usar HSTS también?     
hecha 06.07.2016 - 00:12
4
respuestas

¿Se puede desactivar HSTS en Firefox?

Para pentesting / VA, es, por supuesto, imperativo poder ver siempre el sitio HTTP de un destino. Si está presente, HSTS entra en conflicto con esta necesidad. Sin usar un proxy para solucionar el problema (por ejemplo, Burp), ¿es posible des...
hecha 09.10.2015 - 13:41
2
respuestas

Seguridad adicional de HSTS a través de HTTPS

Es HSTS bueno incluso si mis servidores están configurados para usar HTTPS (cuando se usa HTTP, las reglas de reescritura en Apache lo convierte en HTTPS)? ¿También debería usarse HSTS incluso en recursos como CSS e imágenes, o solo cuando...
hecha 16.07.2012 - 17:51
5
respuestas

¿Se puede configurar una cookie segura desde una conexión HTTP insegura? Si es así, ¿por qué está permitido?

Con referencia a un documento de seguridad que leí, descubrí que el cliente solo puede enviar una cookie con el conjunto de indicadores de seguridad a través de conexiones que usan HTTPS, no HTTP, pero que la propia cookie se puede configurar de...
hecha 26.10.2016 - 12:58
4
respuestas

¿Cómo puede una aplicación web proteger a los usuarios cuando el navegador no es compatible con HSTS?

HTTP Strict Transport Security (HSTS) es una característica muy útil para prevenir OWASP a9 violaciónes y ataques como SSLStrip que intenta evitar que el cliente realice una conexión segura. Sin embargo, esta tecnología no se encuentra en v...
hecha 06.11.2012 - 17:22
2
respuestas

¿Tengo un MITM actual?

Pido disculpas por la tersitud de esta pregunta; Tengo un problema. Google.co.uk está fallando su HSTS en mis navegadores. ¿Setratadeunproblemacongoogle.co.ukoessoloyo?¿HayalguiendemedianaadministraciónenmiconexiónaInternet?Aunquepuedoencont...
hecha 12.06.2017 - 21:15
3
respuestas

HSTS en un subdominio con includeSubdomains

Supongamos que mi sitio se encuentra en foo.example.com y envío el siguiente encabezado HTTP cuando los visitantes acceden a mi sitio utilizando HTTPS: Strict-Transport-Security: max-age=31536000; includeSubDomains ¿La política de HS...
hecha 02.02.2016 - 09:09
4
respuestas

¿Por qué Firefox afirma que mi conexión a Google es insegura?

Sigo recibiendo este mensaje cada vez que abro cualquier sitio de Google: Mi Firefox está actualizado, y por eso mi Windows 8.1. Como no sé mucho sobre HSTS, no sé qué está pasando y, obviamente, no puedo buscarlo en Google. El uso d...
hecha 06.04.2016 - 09:36
3
respuestas

¿Debo activar HSTS con Encriptar certificados?

Recientemente configuré un servidor web que, entre otros, sirve ownCloud para algunos de mis usuarios. Obtuve un certificado SSL de Let´s Encrypt porque no quería usar un certificado autofirmado como el que utiliza ownCloud de forma inmediata. C...
hecha 09.12.2016 - 07:51