È necessario applicare Intestazione di sicurezza per il trasporto rigorosa (HSTS) a non 200 pagine di risposta (ad esempio 403, 302)

Naviga le tue risposte
6

Ho un'applicazione protetta da Cloudflare. L'applicazione risponde con un HSTS su tutte le altre pagine ad eccezione dello stato HTTP 403 Proibito e 302 Spostato temporaneamente. Sembra che Cloudflare ne sia responsabile. Ci sono anche alcune risorse (JS) che non hanno l'HSTS applicata, ma che è fuori tema per questa domanda.

La mia intuizione dice che tutte le pagine (e le risorse) devono avere l'HSTS perché, anche se improbabile, qualcuno ha scritto male l'url e ha indotto un divieto che sarebbe stato vulnerabile ad attacchi come sslstrip.

    
posta Anderson 13.07.2018 - 16:24
fonte

1 risposta

8

Anche se non va bene, e dovrebbe essere corretto, probabilmente non è così brutto come pensi. L'HSTS si applica ai domini , quindi non appena una risposta include l'intestazione Strict-Transport-Security il browser forza tutte le richieste a reindirizzare a HTTPS per l'intero dominio (e possibilmente sottodomini, a seconda della configurazione).

Risorse come JavaScript e CSS raramente vengono mai direttamente accessibili dagli utenti finali, quindi l'intestazione HSTS deve essere ricevuta prima che queste risorse siano comunque richieste.

Se c'è un MitM e l'utente non ha visitato il sito prima (o il numero massimo dell'intestazione HSTS è passato) e il sito non è in lista di precaricamento , non importa che alcune risposte lo includano e altre no; il MitM può usare lo ssl-strip in entrambi i modi. HSTS funziona solo dopo che il browser l'ha visto, se stai visitando un sito per la prima volta su HTTP sei vulnerabile a meno che non sia presente nell'elenco di precaricamento.

    
risposta data 13.07.2018 - 16:45
fonte

Leggi altre domande sui tag

Come dovrebbero reindirizzare i portali in cattività? Da dove vengono le persone che pubblicano le "liste dei proxy gratuiti"?