È più sicuro utilizzare la funzionalità di pre-caricamento di HTTP Strict Transport Security (HSTS)?

2

È più sicuro utilizzare la funzionalità di precaricamento di HTTP Strict Transport Security ( HSTS ) e, in caso affermativo, perché ?

Con pre-caricamento:

Strict-Transport-Security: max-age=10886400; includeSubDomains; preload

Senza precaricamento

Strict-Transport-Security: max-age=10886400; includeSubDomains
    
posta Bob Ortiz 11.07.2016 - 23:53
fonte

1 risposta

3

In realtà è ancora più sicuro.

L'HSTS convenzionale ha effetto solo dopo la prima richiesta al sito e fino a quando l'utente cancella la cache del suo browser (ogni browser può gestirlo in modo diverso ma presumo di cancellare tutti i dati di navigazione dovrebbe anche eliminare l'elenco HSTS) e credo che HSTS non persiste tra la navigazione privata e privata a causa di problemi di privacy.

L'HSTS precaricato funziona dicendo a tutti che desideri che la tua intestazione HSTS sia spedita con gli aggiornamenti del browser, in modo che i browser sappiano che il tuo sito dovrebbe essere solo usando HTTPS anche se il tuo utente non ha mai visitato il tuo sito in precedenza. Ovviamente ha alcune implicazioni, principalmente non essendo in grado di rinunciare (diciamo che torni su HTTP, non solo i tuoi utenti esistenti non saranno in grado di connettersi perché hanno visto la tua intestazione HSTS, ma i nuovi utenti non lo faranno neanche perché l'intestazione HSTS è in bundle con il loro browser).

Credo che devi anche inviare il sito manualmente utilizzando modulo di Google in quanto non penso che eseguano la scansione di Internet alla ricerca del precarico intestazioni, almeno non ancora.

    
risposta data 12.07.2016 - 00:02
fonte

Leggi altre domande sui tag