Sembra esserci un sostegno diffuso all'idea che i siti web relativi alle elezioni, di tutte le cose, dovrebbero essere resistenti agli attacchi man-in-the-middle. Il ballottaggio segreto rende più difficile il rilevamento e il recupero da SSL-stripping più difficile rispetto al caso di utilizzo del web medio .
Tuttavia l'analisi della lista di precaricamento di Chrome rivela che quasi nessun sito web relativo alle elezioni è presente , ad eccezione del sistema di votazione online della Posta Svizzera. Così ho cercato di incoraggiare e promuovere l'adozione di HSTS tra agenzie elettorali e venditori di votazione online.
Mentre le persone incontrano il precaricamento dell'HSTS per la prima volta, una delle prime domande sembra essere: se è così grande, perché non tutti la usano? Nel bene o nel male, le banche sono considerate come punto di riferimento per la sicurezza web e in particolare ho ricevuto questa domanda:
If HSTS preloading is so great, why aren't the banks using it?
Effettivamente, se controlli la tua istituzione finanziaria rispetto all'elenco di precarichi, probabilmente la troverai assente:
https://hstspreload.com/api/v1/status/<your bank>
Ci sono diverse possibilità, anche se nella mia osservazione se un sito non è presente nell'elenco di precaricamento, il proprietario del sito tipicamente:
- Non conosce l'elenco di precaricamento, o
- L'aggiunta del loro sito potrebbe rompere qualcosa nella loro infrastruttura web.
Con le banche, il meglio che posso pensare è che fanno affidamento su una intranet interna, non crittografata, che sarebbe negata dal servizio se si aggiungessero alla lista. Ma questa è solo speculazione, e sarei grato a chiunque abbia conoscenza della loro logica.