Preguntas con etiqueta 'hsts'

preguntas con etiqueta
1
respuesta

¿Es útil el encabezado HSTS sin un certificado reconocido?

La aplicación en la que estoy trabajando solo es accesible a través de la dirección IP, por lo que la conexión HTTPS se proporciona a través de un certificado con firma personalizada. Le expliqué a mi cliente que (de MDN docs )    [...] c...
hecha 13.04.2018 - 13:36
1
respuesta

Cómo incluir la política de HSTS en el paquete de respuestas dns

Quiero proteger a los clientes del ataque sslstrip. Se debe utilizar HSTS. Pero HSTS no protege la primera visita del cliente al servidor. Así que quiero incluir la política de HSTS en las respuestas de dns y enviar a los clientes que lo solicit...
hecha 28.07.2017 - 13:09
1
respuesta

¿Por qué, en ocasiones, bettercap y sslstrip funcionan en Google y Facebook?

sslstrip y bettercap funcionan "a veces" en los navegadores Chrome en sitios como Facebook, Google, AOL y otros sitios que usan HSTS de precarga. ¿Por qué a veces funciona cuando no debería funcionar en absoluto?     
hecha 17.07.2018 - 01:12
1
respuesta

¿La directiva HSTS inlcudeSubDomains incluye subdominios en todos los niveles?

Hice esta pregunta en Stack Overflow, pero pensé que es más relevante aquí. Respecto a la directiva HSTS includeSubDomains. ¿Esto incluye todos los subdominios debajo, p. example.com. ¿Entonces abc.def.example.com también está incluido? En la...
hecha 26.05.2016 - 12:40
3
respuestas

¿La suplantación de ARP o DNS desempeña un papel al realizar MITM en ataques de AP falsos?

Tengo un entorno de prueba, donde pruebo algunas herramientas y enfoques de piratería inalámbrica, y últimamente me han interesado los ataques de los gemelos malvados. Creé un AP falso usando airbase-ng, y especifiqué las tablas de IP manualment...
hecha 06.06.2016 - 23:33
2
respuestas

¿Lista de sitios que todavía no admiten HSTS?

Estoy trabajando en un artículo para el trabajo y busco una lista de los mejores 500 sitios web (clasificados por Alexa ) que aún no tiene soporte para HSTS. ¿Existe tal lista? No obtengo ningún resultado interesante de mis consultas de Google....
hecha 18.05.2018 - 03:59
2
respuestas

¿Cómo se justifica el peligro / badidea / thisisunsafe?

El estándar HSTS establece lo siguiente:    12.1. Sin recurso del usuario       Fallo en el establecimiento de la conexión segura en cualquier advertencia o error   (según la Sección 8.4 ("Errores en un establecimiento de transporte seguro...
hecha 14.10.2018 - 14:11
1
respuesta

Omitir HSTS y la fijación de claves públicas con caracteres similares

Uso de símbolos de caracteres similares para evitar HSTS y la fijación de claves públicas con falsificación de DNS mediante MITM Attack. Redireccionar: facebook.com - > faceḃook.com - He visto SSLStrip + utilizando la técnica de agre...
hecha 15.07.2018 - 22:58
1
respuesta

Implementación de HSTS y tipo de respuesta

He implementado el HSTS en mi sitio web basado en ASP.Net MVC. Pero si hago una solicitud HTTP (no HTTPS), la solicitud se está propagando usando el canal HTTP y la respuesta es 301: Movida permanentemente. Y desde la 2ª solicitud en adelante, s...
hecha 03.04.2017 - 05:44
1
respuesta

¿Se ha implementado HSTS pero no funciona?

Mientras estaba conectado a una red muy restringida, solo pude acceder a Internet a través de un proxy Squid que estaba configurado solo para HTTP en el puerto 80. Al navegar a google.com, puedo recibir el sitio aún sin SSL activado. Revisé e...
hecha 24.01.2017 - 05:30