Preguntas con etiqueta 'hsts'

preguntas con etiqueta
1
respuesta

Seguridad de transporte estricta de HSTS: incluya el dominio base

Configuré mi servidor web apache para usar HSTS Strict Transport Security. Si mi dominio es example.com, la mayoría de la gente visita mi sitio web a través del subdominio www.example.com. Por lo tanto, Strict Transport Security solo se requi...
hecha 07.01.2016 - 20:18
2
respuestas

¿Cómo se maneja el HSTS en los subdominios?

Recientemente he auditado un sitio web con tres hosts: el sitio principal ( example.com ) y dos subdominios (llamémoslos portal.example.com , y < em> welcome.example.com ). De acuerdo con los encabezados de respuesta, HSTS está configurado c...
hecha 06.11.2015 - 17:36
1
respuesta

Indicador de seguridad y HSTS en el sitio Solo HTTPS

Si tuviera un sitio solo disponible en HTTPS, ¿debería seguir habilitando HSTS y Secure Flag?     
hecha 03.07.2015 - 06:03
2
respuestas

OWASP Secure Headers for Web Services

¿Son obligatorios los siguientes encabezados para un servicio web que maneja solicitudes POST y devuelven datos usando SOAP? Seguridad de transporte estricta de HTTP (HSTS) Opciones de X-Frame X-XSS-Protection Opciones de tipo de conte...
hecha 13.11.2017 - 09:00
2
respuestas

¿Necesita DNSSEC si usa HSTS? [duplicar]

Estoy tratando de entender los beneficios de DNSSEC. Si un usuario va a mi sitio example.com y el caché de DNS se envenenó redirigiendo al usuario a la IP del malo, ¿qué pasaría? He habilitado HSTS. Según tengo entendido, el us...
hecha 12.05.2018 - 23:07
2
respuestas

¿Se debe enviar el encabezado HSTS en una respuesta de error?

Necesitamos configurar nuestro loadbalancer para enviar el encabezado HSTS y estamos debatiendo si enviar o no el encabezado en las respuestas HTTP 4xx / 5xx. Nuestra principal preocupación es la capa de aplicación de ataques DDos. No queremos h...
hecha 06.05.2016 - 00:45
1
respuesta

¿Por qué sslstrip + no puede interceptar el tráfico de sitios web como Facebook y Gmail?

He estado leyendo un artículo sobre sslstrip y mitm. Antes de la introducción de HSTS, era posible eliminar ssl y enviar una página http insegura a la víctima. De todos modos, se superó mediante el uso de HSTS, que recopila la url de los sitios...
hecha 18.10.2015 - 15:05
1
respuesta

SSLStrip2 y HSTS

Tengo una pregunta relacionada con el uso de SSLstrip2 para omitir HSTS en sitios web. Logré instalar e implementar SSLStrip2 con éxito (en combinación con DNS2Proxy). Esto significa que al usar un navegador y visitar un sitio web, el sitio w...
hecha 28.09.2017 - 23:13
1
respuesta

Ataque persistente de denegación de servicio basado en HPKP en sitios web

Fijación de clave pública HTTP (HPKP) es un estándar que permite que un sitio web HTTPS especifique en qué certificados confía, y indique al navegador que no permita ninguna conexión a ese sitio que esté protegido por cualquier otro certificad...
hecha 06.07.2015 - 07:26
2
respuestas

¿Es necesario el encabezado Strict-Transport-Security cuando se configura HTTPS? [duplicar]

Los datos de mi sitio web se transfieren a través de HTTPS. Hasta donde entiendo esto, hay un certificado emitido por CA que es proporcionado por el servidor para cada cliente, el cliente y el servidor deciden cómo cifrar y descifrar la inform...
hecha 28.12.2016 - 14:18