jueves, 6 de julio de 2017

HSTS & HPKP:Misión salvar HTTPS [Parte III]

En esta tercera parte de esta serie de artículos se va a explicar HSTS. Después de explicar HPKP en la segunda parte, HSTS es prácticamente igual y en la base, es casi casi lo mismo. Así pues, ya disponemos de una gran base de conocimiento para poder entender a HSTS.


El protocolo HSTS lo podemos encontrar definido en el RFC6797 y esta política, especifica un periodo de tiempo por el cual el user agent deberá acceder al servidor solamente de manera "segura". Así pues, como es obvio, esta comunicación se realizará entre el user agent por medio de una respuesta de cabecera HTTP llamada Strict-Transport-Security, disponiendo así de las siglas HSTS.

Aquí se especifica también un max-age en segundos, y una vez que el max-age llegue a 0, la conexción iría de nuevo solamente en HTTP hasta que encuentre otro punto de conexión en el que la comunicación vuelva a exigir el Strict-Transport-Security. El mecanismo de HSTS es el siguiente:

  1. Se lee la URL y se continua con el algoritmo de manera que si se encuentra que se está usando el canal no seguro HTTP, se "switchea", se cambia automáticamente a un canal seguro mediante HTTPS.
  2. Si no se puede "switchear" a un entorno seguro, se mostrará pro pantalla un mensaje de error y no se le permitirá al usuario conectarse a esa web.
Con esta metodología, HSTS consigue reducir la probabilidad de que los usuarios sufran ataques de downgrade, cookie hijacking o Man In The Middle.

Viendo todo esto, solamente nos quedaría ver qué hacen los dominios más conocidos y qué tipo de política  siguen para tratar de garantizar la seguridad de sus clientes. Eso se verá en otra entrada.

¿Hackeamos el Mundo?


********************************************************************

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...