Domande con tag 'hsts'

domande con tag
7
risposte

Perché dovrei offrire HTTP oltre a HTTPS?

Sto configurando un nuovo server web. Oltre a TLS / HTTPS, sto considerando l'implementazione di Strict-Transport-Security e altri meccanismi di applicazione HTTPS. Tutti sembrano essere basati sul presupposto che sto scontando http://www...
posta 18.04.2017 - 15:00
5
risposte

Qual è la differenza tra l'utilizzo di HSTS e il reindirizzamento 301?

Se ho già effettuato un reindirizzamento 301 da tutte le pagine interne HTTP a HTTPS, perché dovrei usare anche l'HSTS?     
posta 06.07.2016 - 00:12
4
risposte

È possibile disattivare HSTS in Firefox?

Per pentesting / VA, è, ovviamente, imperativo essere sempre in grado di vedere il sito HTTP di un target. Se presente, l'HSTS è in conflitto con questa esigenza. Senza utilizzare un proxy per risolvere il problema (ad es. Burp), è possibile...
posta 09.10.2015 - 13:41
2
risposte

HSTS extra sicurezza su HTTPS

È HSTS buono da usare anche se i miei server sono configurati per utilizzare HTTPS (quando viene utilizzato HTTP, le regole di riscrittura in Apache lo trasforma in HTTPS? Dovrebbe essere usato anche HSTS anche su risorse come CSS e immagin...
posta 16.07.2012 - 17:51
5
risposte

È possibile impostare un cookie sicuro da una connessione HTTP non sicura? Se è così, perché è permesso?

Con riferimento ad alcuni documenti di sicurezza che ho letto, ho scoperto che un cookie con il set di flag sicuro può essere inviato dal client solo tramite connessioni che utilizzano HTTPS, non HTTP, ma il cookie stesso può essere impostato da...
posta 26.10.2016 - 12:58
4
risposte

Come può un'applicazione Web proteggere gli utenti quando il browser non supporta l'HSTS?

HTTP Strict Transport Security (HSTS) è una funzionalità molto utile per evitare OWASP a9 violazioni e attacchi come SSLStrip che provano e impediscono al client di stabilire una connessione sicura. Questa tecnologia tuttavia non è nelle ve...
posta 06.11.2012 - 17:22
2
risposte

Ho un MITM corrente?

Mi scuso per la concisione di questa domanda; Ho un problema Google.co.uk sta fallendo il suo HST sui miei browser. Sitrattadiunproblemacongoogle.co.ukositrattasolodime?QualcunostacontrollandolamiaconnessioneInternet?Mentrepossotrovaremoltis...
posta 12.06.2017 - 21:15
3
risposte

HSTS su un sottodominio con includeSubdomains

Supponiamo che il mio sito si trovi a foo.example.com e invio la seguente intestazione HTTP quando i visitatori accedono al mio sito utilizzando HTTPS: Strict-Transport-Security: max-age=31536000; includeSubDomains La politica HSTS avr...
posta 02.02.2016 - 09:09
4
risposte

Perché Firefox afferma che la mia connessione a Google non è sicura?

Continuo a ricevere questo messaggio ogni volta che apro qualsiasi sito da Google: Il mio Firefox è aggiornato, e quindi il mio Windows 8.1. Dato che non conosco molto dell'HSTS, non so cosa sta succedendo, e ovviamente non posso google...
posta 06.04.2016 - 09:36
3
risposte

Devo attivare HSTS con Let's Encrypt Certificates?

Recentemente ho installato un server web che, tra gli altri, serve ownCloud ad alcuni dei miei utenti. Ho ottenuto il certificato Let's Encrypt SSL perché non volevo utilizzare un certificato autofirmato come quello utilizzato da ownCloud. Ho co...
posta 09.12.2016 - 07:51