Gli HST possono essere sconfitti?

6

Poiché so che l'HSTS è implementato principalmente per mitigare il famoso attacco sslstrip in cui il browser è costretto a usare ssl quando si connette a un particolare sito. E penso che impedisca anche all'utente di procedere al sito se c'è un problema con ssl cert che il sito fornisce. C'è qualcosa di più da sapere su HSTS?

Inoltre ho letto per lo più informazioni superficiali su HSTS e che possono essere sconfitte. È possibile ? (Tranne il modo ovvio di intercettare prima che l'utente si connetta per la prima volta e l'intestazione di blocco hsts)

Quali browser supportano gli hts? È possibile cancellare i dati di hsts come cancellare la cronologia e i cookie del browser?

    
posta user3155036 18.06.2014 - 01:15
fonte

1 risposta

9

anything more to know about HSTS ?

I due attacchi chiave che mitiga sono gli attacchi sslstrip e MITM con certificati autofirmati (come quello del governo siriano contro Facebook ). Può anche aiutare a mitigare i problemi di implementazione di HTTPS che potrebbero portare a attacchi di tipo FireSep.

it can be defeated. Is this possible ?

Come hai affermato, la principale limitazione dell'HSTS è una connessione iniziale su HTTP che rende possibile un attacco sslstrip. DNSSEC è stato proposto come una risposta a questo, ma non è stato ancora implementato. Dato lo stretto ambito dell'HSTS, altri mezzi per sconfiggerlo probabilmente si basano su altri vettori di attacco.

Which browsers support hsts?

Al momento della scrittura, Firefox, Chrome, Safari e Opera su desktop, Firefox, Chrome e il browser predefinito su Android e Opera Mobile. Totale 57,84% degli utenti globali secondo StatCounter.

Fonte e per gli aggiornamenti: link

Can hsts data be cleared like clearing browser history and cookies?

Sì. Ecco come farlo per Firefox . Come cancellare la cronologia e i cookie del browser, questo non dovrebbe essere accessibile da javascript in esecuzione su una pagina (e sarebbe un grosso buco di sicurezza se lo fosse).

    
risposta data 18.06.2014 - 11:45
fonte

Leggi altre domande sui tag