Preguntas con etiqueta 'hsts'

2
respuestas

¿Es útil el encabezado HSTS para aplicaciones móviles?

Estoy usando HSTS (Strict-Transport-Security Header) para aplicaciones web. Por lo que sé, el navegador guarda esa información y cuando un usuario intenta conectarse a mi sitio web, el navegador la carga a través de HTTPS directamente. Así se ev...
hecha 29.03.2017 - 20:01
1
respuesta

¿Existe algún mecanismo para precargar la fijación de claves públicas HTTP?

Para HTTP Strict Transport Security ( HSTS ), hay una lista de precarga, que los propietarios del sitio pueden enviar a su sitio a una lista de nombres de dominio con los que los proveedores de navegadores envían sus navegadores....
hecha 24.11.2016 - 21:16
2
respuestas

La necesidad de incluirSubDomains en HSTS RFC

Estoy tratando de entender la directiva includeSubDomains en el estándar de seguridad estricta de transporte HTTP. En particular, sección 14.4 de RFC 6797 me confunde. El punto 2 dice    La solicitud HTTP enviada a uxdhbpahpdsf.example.c...
hecha 21.01.2015 - 13:04
1
respuesta

¿Cómo puede una cookie no segura o no HTTP solamente afectar la seguridad de un sitio web de HSTS?

Si un sitio web se está ejecutando en HSTS y está configurando aproximadamente 20 cookies. De esas 20 cookies, 15 son seguras y solo HTTP y las 5 restantes no lo son. En este escenario, ¿de qué manera podemos comprometer la seguridad del sitio w...
hecha 30.09.2014 - 07:48
2
respuestas

HSTS para aplicaciones de Android?

Los sitios web como Facebook visitados en los navegadores tienen la capacidad HSTS, que es una capa más de seguridad para TLS frente a algunos ataques. ¿Qué pasa, en particular, con la aplicación de Android de Facebook? ¿Tiene HSTS? Ya discu...
hecha 17.10.2018 - 16:18
1
respuesta

¿Cuáles son las implicaciones de eliminar SECURE_HSTS_INCLUDE_SUBDOMAINS = Verdadero con Django?

En este momento, los enlaces de confirmación de correo electrónico de mi sitio django no se pueden hacer clic durante unos 60 segundos. Sin embargo, si los abro con el botón derecho, se abren en una nueva ventana de incógnito, funcionan. Teng...
hecha 02.04.2018 - 19:03
1
respuesta

Política de caché HSTS para el dominio raíz

Imaginemos que mi sitio web principal es enlace , pero un usuario escribe enlace . Si esto redirige directamente a enlace , o si primero redirige a enlace para almacenar en caché la política de HSTS para todo el dominio? Mi política d...
hecha 04.02.2018 - 00:56
0
respuestas

Experimentando con SSLStrip + en la misma máquina

Estoy intentando jugar para entender cómo funciona SSLStrip +: $ cat /proc/sys/net/ipv4/ip_forward 1 $ sudo iptables --flush $ sudo iptables --flush -t nat $ sudo iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 9000 $ sud...
hecha 11.11.2018 - 15:43
0
respuestas

El conjunto HSTS actual no muestra los sitios visitados

Estoy usando chrome://net-internals/#hsts para hacer pruebas HSTS. Intenté consultar un dominio que tiene HST precargado (facebook.com) y obtuve los resultados esperados: Encontrado: static_sts_domain: facebook.com Sin embargo,...
hecha 28.06.2017 - 17:34
0
respuestas

Si borro los datos de navegación, ¿se eliminó la protección HSTS?

He visto que si elimino las cookies y otros datos en Google Chrome, SSLStrip + funciona correctamente en aquellos sitios web que no están incluidos en la lista del navegador. ¿Es porque los datos HSTS también se borran?     
hecha 08.04.2016 - 21:24