Risposta breve: non ha molta importanza. Segue una risposta più lunga.
Che cos'è l'HSTS comunque?
HSTS, o HTTP Strict Transport Security, è un'intestazione di risposta HTTP che può essere impostata per i browser Web per forzare le connessioni TLS. Un'intestazione tipica ha questo aspetto:
Strict-Transport-Security: max-age=31536000; includeSubDomains
However, this header alone does not encrypt communications.
Questa intestazione deve essere inviata tramite una connessione TLS prima che possa essere efficace.
Connessioni TLS
Le connessioni TLS o il più generale HTTPS, crittografano le comunicazioni da browser a server in transito e forniscono il controllo dell'integrità. Sfruttando HSTS, si tratta di un miglioramento che indica al browser di non tentare mai connessioni a un semplice HTTP. Questo è un approccio additivo per garantire che la comunicazione avvenga solo tramite HTTPS.
Che cosa intendi per approccio additivo?
Ciò che si intende qui è che la linea di base è HTTPS. Questo è un requisito prima che l'HSTS e altri mezzi possano essere presi in considerazione. La maggior parte delle persone, me incluso, non ha l'abitudine di digitare https://www.example.com
, ma digita www.example.com
o solo example.com
e ci aspettiamo che il server gestisca il reindirizzamento da HTTP a HTTPS. Questa usabilità introduce l'opportunità di modificare i cookie e altri dati prima che la vittima venga reindirizzata da HTTP a HTTPS. HSTS tenta di risolvere questo problema dicendo al browser di non andare mai su HTTP e basta andare su HTTPS.
Il flag secure
nei cookie indica al browser di non inviare quei cookie su HTTP e invece li invia solo tramite HTTPS. Ciò impedisce agli strumenti di attacco come SSLStrip
di ottenere i dati dei cookie. HSTS aggiunge un altro livello sopra il flag di sicurezza e dice al browser oltre a non inviare mai cookie su HTTP, non inviare mai dati su HTTP.
La tua ricetta ha questo aspetto:
TLS:
- Secure flag on cookies
- HSTS
HSTS non è richiesto per comunicazioni sicure, a meno che la politica aziendale non lo richieda.
DDoS
La situazione in cui un utente malintenzionato cerca 404 o altre risposte non è un grosso problema perché l'autore dell'attacco può semplicemente inviare richieste di pagine che risultano in 200 codici di risposta.
Ho detto che non ha molta importanza all'inizio di questa risposta. La ragione è che le intestazioni di risposta alla scrittura del LB si verificheranno comunque per non 404 pagine, quindi una situazione DDoS descritta non sarebbe una mia preoccupazione.