Quali sono le implicazioni della rimozione di SECURE_HSTS_INCLUDE_SUBDOMAINS = Vero con Django?

2

Al momento i link di conferma email del mio sito django non sono selezionabili per circa 60 secondi. Tuttavia, se li apro facendo clic con il tasto destro del mouse in una nuova finestra di navigazione in incognito, funzionano.

Ho la seguente impostazione - quindi i 60 secondi hanno un senso.

SECURE_HSTS_SECONDS = 60

Questo, almeno per mia comprensione, è dovuto a questa impostazione nelle impostazioni di produzione.py

SECURE_HSTS_INCLUDE_SUBDOMAINS = env.bool(
    'DJANGO_SECURE_HSTS_INCLUDE_SUBDOMAINS', default=True)

Quando rimuovo l'impostazione relativa ai sottodomini, posso fare clic sui miei collegamenti e tutto va bene. Voglio che gli utenti possano registrarsi, ma non voglio nemmeno compromettere la sicurezza.

Anche il mio link di conferma email viene inviato come http, anziché https. Sto cercando di ottenere il link per generare come https, ma non hanno avuto successo. Quanto è grande il rischio di inviare le conferme email come http pose?

Attualmente sto usando mailgun per gestire le mie e-mail e non supportano HSTS. Quindi sto cercando di capire quanto sia necessario HSTS, e se semplicemente non dovessi preoccuparmi di questo, o trovare un altro servizio / soluzione alternativa.

Ecco altro post che ho fatto su StackOverflow cercando di capire tutto se desideri maggiori dettagli.

Grazie in anticipo. Sono rimasto bloccato su questo per settimane.

    
posta Sam Piecz 02.04.2018 - 19:03
fonte

1 risposta

1

HSTS obbliga il browser a utilizzare HTTPS e lo protegge dal cadere vittima di attacchi di downgrade del protocollo verso HTTP.

Fondamentalmente obbliga tutto a utilizzare HTTPS e garantisce comunicazioni sicure tra browser e server per evitare la perdita di informazioni sensibili attraverso una connessione chiara. Il modo in cui funziona è SE il browser ha già visitato il sito web E ha già visto l'HSTS per il sito Web, forzerà sempre una connessione sicura. Se non ha l'intestazione HSTS prima, gli utenti del tuo sito potrebbero comunque essere vulnerabili a un attacco SSLstrip in quanto l'attaccante può rimuovere l'intestazione HSTS.

Questa comunicazione viene utilizzata tra il visitatore del tuo sito web e il tuo server. Normalmente questa intestazione non dovrebbe essere rilevante per Mailgun a meno che tu non abbia incluso un sottodominio che punta a Mailgun. Il motivo per cui HSTS non può essere utilizzato è che costringerà i sottodomini a utilizzare un certificato SSL valido. Tuttavia, il certificato SSL non sarà valido poiché punta al dominio di MailGun e non al tuo.

Si tratta di un problema di sicurezza? È un rischio minore, ci sono diverse condizioni che dovrebbero verificarsi perché qualcuno sia in grado di recuperare informazioni sensibili attraverso un sottodominio. Finché esegui il tuo HTTPS del server web solo sul dominio principale e il tuo link di attivazione non chiama direttamente il tuo sito web, dovrebbe andar bene.

L'altra opzione che hai è quella di inviare i link di attivazione da un dominio separato.

    
risposta data 02.04.2018 - 19:49
fonte

Leggi altre domande sui tag