Perché le banche sono in gran parte assenti dall'elenco dei precarichi dell'HSTS?

2

Sembra esserci un sostegno diffuso all'idea che i siti web relativi alle elezioni, di tutte le cose, dovrebbero essere resistenti agli attacchi man-in-the-middle. Il ballottaggio segreto rende più difficile il rilevamento e il recupero da SSL-stripping più difficile rispetto al caso di utilizzo del web medio .

Tuttavia l'analisi della lista di precaricamento di Chrome rivela che quasi nessun sito web relativo alle elezioni è presente , ad eccezione del sistema di votazione online della Posta Svizzera. Così ho cercato di incoraggiare e promuovere l'adozione di HSTS tra agenzie elettorali e venditori di votazione online.

Mentre le persone incontrano il precaricamento dell'HSTS per la prima volta, una delle prime domande sembra essere: se è così grande, perché non tutti la usano? Nel bene o nel male, le banche sono considerate come punto di riferimento per la sicurezza web e in particolare ho ricevuto questa domanda:

If HSTS preloading is so great, why aren't the banks using it?

Effettivamente, se controlli la tua istituzione finanziaria rispetto all'elenco di precarichi, probabilmente la troverai assente:

https://hstspreload.com/api/v1/status/<your bank>

Ci sono diverse possibilità, anche se nella mia osservazione se un sito non è presente nell'elenco di precaricamento, il proprietario del sito tipicamente:

  • Non conosce l'elenco di precaricamento, o
  • L'aggiunta del loro sito potrebbe rompere qualcosa nella loro infrastruttura web.

Con le banche, il meglio che posso pensare è che fanno affidamento su una intranet interna, non crittografata, che sarebbe negata dal servizio se si aggiungessero alla lista. Ma questa è solo speculazione, e sarei grato a chiunque abbia conoscenza della loro logica.

    
posta prhymethyme 09.10.2018 - 15:27
fonte

0 risposte

Leggi altre domande sui tag