Preguntas con etiqueta 'hsts'

preguntas con etiqueta
1
respuesta

¿Está este encabezado HSTS configurado correctamente en LAMP?

Tengo un servidor LAMP y mi proveedor de certificados SSL me recomendó configurar el encabezado HSTS de la siguiente manera en Apache2: Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains; preload" env=HTTPS Pre...
hecha 14.04.2016 - 03:48
4
respuestas

¿Cómo pueden las aplicaciones móviles prevenir los ataques MITM de HTTPS cuando el usuario instala el certificado de CA del atacante?

Estoy usando una aplicación móvil que instala un certificado de CA confiable y falso y, por lo tanto, puede capturar el tráfico HTTPS de otras aplicaciones. La mayoría de las veces, este ataque MITM tiene éxito. Sin embargo, me di cuenta de q...
hecha 16.08.2018 - 17:31
3
respuestas

Encabezado HTTP que deshabilita el contenido no SSL (o TLS) en esta página

¿Hay un encabezado de respuesta HTTP que no permita que ningún contenido que no sea SSL se muestre en la página actual? La idea es que algunas veces el contenido externo que debe estar en el sitio web (tos, motores de anuncios, tos) puede afl...
hecha 17.06.2014 - 14:43
1
respuesta

Comportamiento del almacenamiento en caché en los principales navegadores

Antes de que formule la pregunta, esta es una pregunta difícil de enmarcar, así que doy la bienvenida a las ediciones para mejorar la claridad. ¿Cómo deciden los principales navegadores cómo almacenar en caché las respuestas, especialmente si...
hecha 10.01.2014 - 03:44
1
respuesta

Asegurar una aplicación web usando HSTS

Background Estoy desarrollando una aplicación web utilizando ASP.Net MVC. Desplegué la aplicación en IIS (V8) y ahora hago el proceso de fortalecimiento de la aplicación web. Configuré el SSL en IIS y la aplicación web funciona solo con SSL (u...
hecha 06.01.2017 - 00:48
1
respuesta

La política de HSTS se está aplicando * a veces *

He implementado una política de HSTS para nuestro sitio. Tengo el encabezado que se sirve en nuestro dominio principal y se envía en la primera respuesta que sirve a la Redirección 304 desde el servidor. (De acuerdo con este artículo , el encab...
hecha 29.10.2015 - 19:27
2
respuestas

Contrato mixto de seguridad estricto - ¿el mismo dominio?

Estoy volviendo a buscar el protocolo de seguridad de transporte estricto, y estoy escribiendo un complemento para Firefox para resaltar algunos de los problemas con el protocolo. Una de las cosas que estoy viendo es el contenido mixto. Si el...
hecha 10.04.2016 - 13:08
1
respuesta

¿Por qué no instituiría encabezados de seguridad de transporte estricto?

Leí recientemente que HSTS puede causar problemas con el acceso al sitio. ¿Bajo qué circunstancias podría ocurrir eso y cuáles son las configuraciones HSTS seguras para implementar en mi servidor web?     
hecha 19.11.2017 - 20:30
1
respuesta

¿Es más seguro usar la función de precarga de HTTP Strict Transport Security (HSTS)?

¿Es más seguro utilizar la función de precarga de HTTP Strict Transport Security ( HSTS ) y, de ser así, por qué ? Con precarga: Strict-Transport-Security: max-age=10886400; includeSubDomains; preload Sin precarga Strict-Transport-...
hecha 11.07.2016 - 23:53
2
respuestas

¿Cómo prevenir ataques antes de que se establezca HSTS por primera vez? [cerrado]

¿Cuál es la mejor manera de lograr esto y prevenir ataques como SSL Strip?     
hecha 17.04.2014 - 00:22