Dobbiamo configurare il nostro loadbalancer per inviare l'intestazione HSTS e stiamo discutendo se inviare o meno l'intestazione sulle risposte HTTP 4xx / 5xx. La nostra principale preoccupazione sono gli attacchi DDos a livello di applicazione. Non vogliamo eseguire il lavoro extra di inserimento dell'intestazione nel caso in cui un utente malintenzionato inizi a indirizzarci con HTTP 404 o qualche altro codice di risposta all'errore. Qual è il modo giusto per farlo?
Sarebbe saggio forzare sempre l'intestazione HTTP Strict Transport Security (HSTS) perché il rischio di non crittografare potrebbe essere peggiore.
In questo caso particolare si tratta di un compromesso diretto tra riservatezza e disponibilità. Per la maggior parte, ma non tutte le attività commerciali, la riservatezza è più importante.
Se la tua azienda valorizza la riservatezza più della disponibilità, allora forza HSTS se la disponibilità è più importante di quella.
L'HSTS è anche particolarmente utile se i team di sviluppo sono inclini a configurazioni di sicurezza scadenti sui server dietro il servizio di bilanciamento del carico. L'HSTS consente a un'organizzazione di applicare https, che in generale è una cosa molto buona.
Nota: in generale c'è anche un vantaggio nascosto nel fare questo sul load balancer piuttosto che sul livello del webserver. Se il bilanciatore del carico risponde con l'intestazione HSTS, in realtà riduce parte del carico dei sistemi dietro di esso e riduce il caricamento della pagina di andata e ritorno del sito alla pagina https. Questo riduce il carico sul server web di una piccola quantità e per alcuni attacchi questo effettivamente aumenta il carico di lavoro sull'attaccante.
Per riferimento: link
Risposta breve: non ha molta importanza. Segue una risposta più lunga.
HSTS, o HTTP Strict Transport Security, è un'intestazione di risposta HTTP che può essere impostata per i browser Web per forzare le connessioni TLS. Un'intestazione tipica ha questo aspetto:
Strict-Transport-Security: max-age=31536000; includeSubDomains
However, this header alone does not encrypt communications.
Questa intestazione deve essere inviata tramite una connessione TLS prima che possa essere efficace.
Le connessioni TLS o il più generale HTTPS, crittografano le comunicazioni da browser a server in transito e forniscono il controllo dell'integrità. Sfruttando HSTS, si tratta di un miglioramento che indica al browser di non tentare mai connessioni a un semplice HTTP. Questo è un approccio additivo per garantire che la comunicazione avvenga solo tramite HTTPS.
Ciò che si intende qui è che la linea di base è HTTPS. Questo è un requisito prima che l'HSTS e altri mezzi possano essere presi in considerazione. La maggior parte delle persone, me incluso, non ha l'abitudine di digitare https://www.example.com , ma digita www.example.com o solo example.com e ci aspettiamo che il server gestisca il reindirizzamento da HTTP a HTTPS. Questa usabilità introduce l'opportunità di modificare i cookie e altri dati prima che la vittima venga reindirizzata da HTTP a HTTPS. HSTS tenta di risolvere questo problema dicendo al browser di non andare mai su HTTP e basta andare su HTTPS.
Il flag secure nei cookie indica al browser di non inviare quei cookie su HTTP e invece li invia solo tramite HTTPS. Ciò impedisce agli strumenti di attacco come SSLStrip di ottenere i dati dei cookie. HSTS aggiunge un altro livello sopra il flag di sicurezza e dice al browser oltre a non inviare mai cookie su HTTP, non inviare mai dati su HTTP.
La tua ricetta ha questo aspetto:
TLS:
- Secure flag on cookies
- HSTS
HSTS non è richiesto per comunicazioni sicure, a meno che la politica aziendale non lo richieda.
La situazione in cui un utente malintenzionato cerca 404 o altre risposte non è un grosso problema perché l'autore dell'attacco può semplicemente inviare richieste di pagine che risultano in 200 codici di risposta.
Ho detto che non ha molta importanza all'inizio di questa risposta. La ragione è che le intestazioni di risposta alla scrittura del LB si verificheranno comunque per non 404 pagine, quindi una situazione DDoS descritta non sarebbe una mia preoccupazione.