L'intestazione HSTS è utile per le applicazioni mobili?

Naviga le tue risposte
2

Sto usando HSTS (Strict-Transport-Security Header) per le applicazioni web. Per quanto ne so, il browser mantiene tali informazioni e quando un utente tenta di connettersi al mio sito Web, il browser lo carica direttamente tramite HTTPS. Quindi gli attacchi MITM sono prevenuti.

Ho anche un'applicazione mobile che dialoga con un web API tramite HTTPS. Devo implementare l'intestazione HSTS per quello? La mia opinione è che non fornirà alcuna sicurezza aggiuntiva poiché non esiste un browser che mantiene le informazioni dell'intestazione HSTS per l'API web. Sono corretto?

    
posta Ivan Todorov 29.03.2017 - 20:01
fonte

2 risposte

1

Hai ragione. Non ci sarebbe davvero nessun punto qui. Sarebbe utile solo se qualcuno sceglie di colpire direttamente l'api da un browser, ma se non c'è un caso d'uso, non è necessario.

    
risposta data 29.03.2017 - 20:07
fonte
1

Accetto con Joe , il browser HSTS è utile per i browser poiché i browser sanno come interpretarlo Un'applicazione mobile non lo fa, a meno che tu (o un framework) non lo dica.

Inoltre, probabilmente hai un URL codificato ( link ) nella tua applicazione in ogni caso, quindi non colpirà il servizio su nessun non-https connessione. Se la stessa API viene utilizzata da un browser (SPA), si tratta di una storia diversa, ma per il solo scopo di un'app mobile, non fa differenza avere l'intestazione HSTS lì dentro.

    
risposta data 29.03.2017 - 22:11
fonte

Leggi altre domande sui tag

Possibile vulnerabilità nel seguente codice Php / JS Come deve essere garantita la connessione tra un server ospitato e un database?