SSLStrip ha lavorato riscrivendo https
richieste a% http
, rimuovendo la protezione e consentendo sia l'intercettazione che le modifiche.
Un server con protezione HSTS imposterà un'intestazione su una richiesta HTTPS chiedendo al browser di contattare solo quel server usando HTTPS:
Strict-Transport-Security: max-age=31536000
In questo caso, per un anno il browser si collegherà al server solo su HTTPS e riscriverà tutti i link come HTTPS (un SSLStrip invertito).
Ma c'è un avvertimento: il client deve aver avuto accesso al server usando HTTPS almeno una volta. Se il client si connette solo tramite HTTP, MiTM può ancora verificarsi, tutte le richieste possono essere modificate e qualsiasi collegamento HTTPS o reindirizzamento può essere modificato su HTTP. Ma non appena il client accede al server utilizzando HTTPS, il cookie HSTS viene impostato e gli attacchi SSLTrip MiTM non sono più possibili.