Domande con tag 'hsts'

2
risposte

L'intestazione HSTS è utile per le applicazioni mobili?

Sto usando HSTS (Strict-Transport-Security Header) per le applicazioni web. Per quanto ne so, il browser mantiene tali informazioni e quando un utente tenta di connettersi al mio sito Web, il browser lo carica direttamente tramite HTTPS. Quindi...
posta 29.03.2017 - 20:01
1
risposta

Esistono meccanismi per precaricare il blocco della chiave pubblica HTTP

Per HTTP Strict Transport Security ( HSTS ), c'è un elenco di precaricamento, che i proprietari dei siti possono inviare il loro sito a un elenco di nomi di dominio con cui i fornitori di browser spediscono i loro browser. Esistono m...
posta 24.11.2016 - 21:16
2
risposte

La necessità di includere i domini in HST RFC

Sto cercando di capire la direttiva includeSubDomains nello standard HTTP Strict Transport Security. In particolare sezione 14.4 di RFC 6797 mi confondono. Il punto 2. dice The HTTP request sent to uxdhbpahpdsf.example.com will include...
posta 21.01.2015 - 13:04
1
risposta

In che modo un cookie non sicuro o non solo HTTP può influire sulla sicurezza di un sito Web HSTS?

Se un sito Web è in esecuzione su HSTS e sta impostando circa 20 cookie. Di questi 20 cookie 15 sono entrambi sicuri e solo per HTTP e il restante 5 non sono né l'uno né l'altro. In questo scenario, in che modo possiamo compromettere la sicurezz...
posta 30.09.2014 - 07:48
2
risposte

HSTS per le app Android?

Siti Web come Facebook visitati sui browser hanno la funzionalità HSTS che rappresenta un ulteriore livello di sicurezza per TLS da alcuni attacchi. Che dire, in particolare, dell'app per Android di Facebook? Ha HSTS? Abbiamo già discusso c...
posta 17.10.2018 - 16:18
1
risposta

Quali sono le implicazioni della rimozione di SECURE_HSTS_INCLUDE_SUBDOMAINS = Vero con Django?

Al momento i link di conferma email del mio sito django non sono selezionabili per circa 60 secondi. Tuttavia, se li apro facendo clic con il tasto destro del mouse in una nuova finestra di navigazione in incognito, funzionano. Ho la seguente...
posta 02.04.2018 - 19:03
1
risposta

Politica della cache HSTS per il dominio principale

Immaginiamo che il mio sito principale sia link , ma un utente digita link . Dovresti reindirizzare direttamente a link , o dovrebbe prima reindirizzare a link per memorizzare nella cache la politica HSTS per l'intero dominio? Il mio...
posta 04.02.2018 - 00:56
0
risposte

Sperimentazione con SSLStrip + sulla stessa macchina

Sto cercando di capire come funziona SSLStrip +: $ cat /proc/sys/net/ipv4/ip_forward 1 $ sudo iptables --flush $ sudo iptables --flush -t nat $ sudo iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 9000 $ sudo iptables -t...
posta 11.11.2018 - 15:43
0
risposte

L'attuale serie di HSTS non visualizza i siti visitati

Sto utilizzando chrome://net-internals/#hsts per eseguire test HSTS. Ho provato a interrogare un dominio con HST precaricato (facebook.com) e ho ottenuto i risultati attesi: Trovato: static_sts_domain: facebook.com Tuttavia, ho p...
posta 28.06.2017 - 17:34
0
risposte

Se cancello i miei dati di navigazione, la protezione HSTS è stata rimossa?

Ho notato che se elimini cookie e altri dati su Google Chrome, SSLStrip + funziona correttamente su quei siti Web che non sono inclusi nell'elenco dei browser. È perché anche i dati HSTS sono cancellati?     
posta 08.04.2016 - 21:24