Domande con tag 'hsts'

domande con tag
2
risposte

comportamento HSTS in modalità in incognito?

Per definizione, la modalità di navigazione in incognito non dovrebbe lasciare una scia di siti Web visitati. Tuttavia, HSTS (HTTP Strict Transport Security) richiede che il browser conservi un database di host che hanno richiesto l'HSTS e on...
posta 07.08.2014 - 07:42
2
risposte

In che modo HSTS blocca gli attacchi MitM?

So che fino a qualche anno fa qualcuno avrebbe potuto creare un AP wireless falso e usare qualcosa come SSLStrip per attirare le vittime nella connessione a versioni non sicure dei principali siti Web, come Gmail, Facebook, ecc. avevano HSTS que...
posta 26.05.2016 - 13:40
3
risposte

Perché HSTS non si applica automaticamente ai sottodomini per migliorare la sicurezza? Per quale motivo qualcuno non vorrebbe HSTS su ogni sottodominio?

HSTS limita la connessione a essere sempre HTTPS se distribuita da qualsiasi dominio, tuttavia per applicarla ai sottodomini è necessario l'attributo 'includeSubDomain'. Perché la politica stessa non rende obbligatorio includere tutti i sottodom...
posta 28.10.2016 - 13:20
3
risposte

HTTP Strict Transport Security (HSTS) ha senso nella comunicazione server-server?

Occasionalmente riceviamo risultati per non aver abilitato HSTS sulle nostre interfacce HTTPS, ma dal momento che queste interfacce sono solo server-server, consentirebbe all'HSTS di fare la differenza di sicurezza?     
posta 19.04.2016 - 09:17
2
risposte

C'è un problema con l'emissione di un'intestazione HSTS in PHP?

Voglio provare una politica HSTS sul mio blog senza abilitarlo inizialmente sul sito. Siccome una politica HSTS è solo un'intestazione di risposta HTTP, ci sarebbe qualche problema con l'invio dell'intestazione in PHP in questo modo: header("s...
posta 30.09.2013 - 23:18
1
risposta

maggio HSTS blocca l'accesso al tuo sito quando rinnovi il tuo certificato SSL?

Ho pensato di utilizzare HSTS nei miei siti ma non capisco se devo sincronizzare i tempi dell'HSTS con il momento in cui il certificato sarà rinnovato o meno. Posso usare tranquillamente un tempo statico per HSTS? Vorrei inviare sempre la ste...
posta 27.05.2016 - 19:51
2
risposte

HTTP non convertito in HTTPS con HSTS

Sto osservando il comportamento di HSTS su entrambi i siti Web HTTP e HTTPS e le relative risorse incorporate HTTP e HTTPS. La mia comprensione è che se un'intestazione di risposta HSTS è stata passata dal server in una risposta HTTPS, o se il n...
posta 19.10.2016 - 10:55
1
risposta

HSTS: facendo clic sugli errori del certificato

Abbiamo un sito web www.example.com con un certificato per il dominio www.example.com, abbiamo anche attivato HSTS. I Labs Qualys SSL ( link ) hanno confermato che l'HSTS è stato abilitato. Ho notato che se si va al link (che è servito dall...
posta 17.04.2018 - 20:12
2
risposte

Esiste un equivalente HSTS per DNSSec?

C'è un modo per impostare un criterio DNSSec sempre simile al modo in cui i HSTS comanda ai browser Web di utilizzare sempre HTTPS? Questo attenuerebbe un attacco alla striscia DNSSec (simile a SSLStrip) Inoltre non sono chiaro se ciò si a...
posta 27.03.2015 - 20:12
3
risposte

HSTS su siti disponibili su HTTP e HTTPS

Mi chiedo se abbia senso abilitare HSTS su un sito servito su HTTPS e su HTTP. Ciò che intendo è aggiungere HSTS-Header se si accede al sito tramite HTTPS. Ma non vi è alcun reindirizzamento da HTTP a HTTPS. Il server servirà anche il sito we...
posta 23.10.2015 - 15:06