Preguntas con etiqueta 'hsts'

1
respuesta

¿Cómo funciona la omisión de HSTS con SSLSTRIP + exactamente?

Estoy haciendo una investigación para evitar HSTS. Leí esta guía para evitar HSTS usando SSLSTRIP +, pero hay una Algunas cosas que no entiendo.    Lo primero que debes hacer es iniciar MITMf en modo SSLstrip +, también usaré la falsificaci...
hecha 08.06.2015 - 17:30
2
respuestas

¿Cómo detiene HSTS los ataques MitM?

Sé que hasta hace unos años, alguien podría configurar un AP inalámbrico falso y usar algo como SSLStrip para atraer a las víctimas a conectarse a versiones inseguras de los principales sitios web, como Gmail, Facebook, etc. Aunque, tenían HSTS...
hecha 26.05.2016 - 13:40
3
respuestas

¿Por qué el HSTS no se aplica automáticamente a los subdominios para mejorar la seguridad? ¿Por qué razón alguien no querría HSTS en cada subdominio?

HSTS restringe la conexión para que siempre sea HTTPS si se implementa en cualquier dominio, sin embargo, para que se aplique a subdominios, se necesita el atributo 'includeSubDomain'. ¿Por qué la política en sí misma no obliga a incluir todos l...
hecha 28.10.2016 - 13:20
3
respuestas

¿La seguridad de transporte estricta de HTTP (HSTS) tiene algún sentido en la comunicación de servidor a servidor?

Ocasionalmente obtenemos resultados por no tener HSTS habilitado en nuestras interfaces HTTPS, pero como estas interfaces son de servidor a servidor, ¿permitiría a HSTS hacer una diferencia de seguridad?     
hecha 19.04.2016 - 09:17
2
respuestas

¿Hay algún problema con la emisión de un encabezado HSTS en PHP?

Quiero probar una política de HSTS en mi blog sin habilitarlo inicialmente en todo el sitio. Como una política de HSTS es solo un encabezado de respuesta HTTP, ¿habría algún problema con el envío del encabezado en PHP ?: header("strict-transpo...
hecha 30.09.2013 - 23:18
1
respuesta

¿Puede HSTS bloquear el acceso a su sitio cuando renueva su certificado SSL?

Estoy pensando en usar HSTS en mis sitios, pero no entiendo si necesito sincronizar la sincronización de HSTS con la hora en que se renovará o no el certificado. ¿Puedo usar de forma segura un tiempo estático para HSTS? Me gustaría enviar sie...
hecha 27.05.2016 - 19:51
2
respuestas

HTTP no se está convirtiendo a HTTPS con HSTS

Estoy buscando el comportamiento de HSTS en los sitios web HTTP y HTTPS, y sus recursos integrados HTTP y HTTPS. Entiendo que si el servidor ha pasado un encabezado de respuesta HSTS en una respuesta HTTPS, o si el nombre del sitio está presente...
hecha 19.10.2016 - 10:55
1
respuesta

HSTS: hacer clic en los errores de certificado

Tenemos un sitio web www.example.com con un certificado para el dominio www.example.com, también tenemos HSTS habilitado. Los Laboratorios SSL de Qualys ( enlace ) confirmaron que HSTS se ha habilitado. Me di cuenta de que si accede a enlace...
hecha 17.04.2018 - 20:12
2
respuestas

¿Hay un equivalente de HSTS para DNSSec?

¿Hay alguna forma de establecer una política de DNSSec-siempre similar a la forma en que HSTS le ordena a los navegadores web que usen siempre HTTPS? Esto mitigaría un ataque DNSSec-strip (similar a SSLStrip) Tampoco estoy claro si esto se...
hecha 27.03.2015 - 20:12
3
respuestas

HSTS en sitios disponibles a través de HTTP y HTTPS

Me pregunto si tiene sentido habilitar HSTS en un sitio que se sirve a través de HTTPS, así como a través de HTTP. Lo que quiero decir es agregar HSTS-Header si se accede al sitio a través de HTTPS. Pero no hay redirección de HTTP a HTTPS. El...
hecha 23.10.2015 - 15:06