Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
08/10/2012
HSTS, camí de convertir-se en estàndard
El denominat HSTS (HTTP Strict Transport Security protocol), ha sigut aprovat per la IETF (Internet Engineering Task Force) com a proposta d’estàndard.
HSTS ha sigut dissenyat perquè els llocs web tinguen la certesa que s’estan realitzant únicament connexions segures amb ells, i informa els navegadors que han d’emprar una connexió segura.
El mecanisme funciona perquè el servidor respon amb un encapçalament d’estricta seguretat de transport, que indica a l’explorador que ha de connectar amb ell per mitjà del protocol HTTPS durant un temps, i no sols per a eixa connexió, sinó per als subdominis també. Una vegada que el navegador rep eixe encapçalament, emprarà únicament connexions HTTPS amb eixe servidor.
Alguns llocs utilitzen connexions HTTP o redireccions per a portar els usuaris a pàgines segures, i obtenen prèviament dades sensibles (com el nom d’usuari i la contrasenya), abans d’entrar en el mode de connexió segura HTTPS.
HSTS reduïx la possibilitat que un atacant puga escoltar les connexions i recopilar galetes i altres dades que poden intercanviar-se en una sessió que va començar sent insegura. HSTS ja ha sigut adoptat per llocs com PayPal, Blogspot, per citar alguns, del costat del servidor. Chrome, Firefox i Opera ho han implementat en el navegador. Internet Explorer i Safari encara no ho suporten. Després de la proposta de la IETF, HSTS arribarà a ser un estàndard en un futur pròxim.