Domande con tag 'hsts'

domande con tag
1
risposta

HSTS Strict Transport Security: include il dominio di base

Ho configurato il mio server web Apache per utilizzare la sicurezza del trasporto rigorosa HSTS. Se il mio dominio è example.com, la maggior parte delle persone visita il mio sito Web attraverso il sottodominio www.example.com. Pertanto, la s...
posta 07.01.2016 - 20:18
2
risposte

Come viene gestito l'HST sui sottodomini?

Di recente ho verificato un sito Web con tre host: il sito principale ( example.com ) e due sottodomini (chiamiamoli portal.example.com e < em> welcome.example.com ). Secondo le intestazioni di risposta, l'HSTS è impostata correttamente per...
posta 06.11.2015 - 17:36
1
risposta

Flag sicuro e HSTS nel solo sito HTTPS

Se avessi un sito disponibile solo in HTTPS dovrei comunque abilitare HSTS e Secure Flag?     
posta 03.07.2015 - 06:03
2
risposte

OWASP Secure Headers per i servizi Web

Le seguenti intestazioni sono obbligatorie per un servizio Web che gestisce le richieste POST e restituiscono i dati utilizzando SOAP? HTTP Strict Transport Security (HSTS) X-Frame-Options X-XSS-Protection X-Content-Type-Options Cont...
posta 13.11.2017 - 09:00
2
risposte

Hai bisogno di DNSSEC se usi HSTS? [duplicare]

Sto cercando di capire i vantaggi di DNSSEC. Se un utente visita il mio sito example.com e la cache DNS è stata avvelenata reindirizzando l'utente all'IP del malintenzionato, cosa accadrebbe? Ho abilitato HSTS. La mia comprension...
posta 12.05.2018 - 23:07
2
risposte

L'intestazione HSTS deve essere inviata in caso di risposta all'errore?

Dobbiamo configurare il nostro loadbalancer per inviare l'intestazione HSTS e stiamo discutendo se inviare o meno l'intestazione sulle risposte HTTP 4xx / 5xx. La nostra principale preoccupazione sono gli attacchi DDos a livello di applicazione....
posta 06.05.2016 - 00:45
1
risposta

Perché sslstrip + non riesce a intercettare il traffico da siti come facebook e gmail?

Ho letto un articolo su sslstrip e mitm. Prima dell'introduzione dell'HSTS era possibile rimuovere lo ssl e inviare alla vittima una pagina http non sicura. In ogni caso è stato superato utilizzando HSTS che raccoglie l'url dei siti che utilizza...
posta 18.10.2015 - 15:05
1
risposta

SSLStrip2 e HSTS

Ho una domanda riguardante l'utilizzo di SSLstrip2 per aggirare l'HST sui siti web. Sono riuscito a installare e distribuire correttamente SSLStrip2 (in combinazione con DNS2Proxy). Ciò significa che quando si utilizza un browser e si visita...
posta 28.09.2017 - 23:13
1
risposta

Attacco denial-of-service persistente basato su HPKP su siti Web

HTTP Public Key Pinning (HPKP) è uno standard che consente a un sito Web HTTPS di specificare quali certificati si fida e indica al browser di non consentire alcuna connessione a quel sito che è protetto da qualsiasi altro certificato. Può...
posta 06.07.2015 - 07:26
2
risposte

L'intestazione Strict-Transport-Security è necessaria quando HTTPS è impostato? [duplicare]

I dati del mio sito web vengono trasferiti tramite HTTPS. Per quanto ne so, esiste un certificato rilasciato dalla CA che viene fornito dal server per ogni client, client e server che decide come crittografare e decrittografare le informazioni...
posta 28.12.2016 - 14:18