Esta semana tuve el placer de aprender sobre HSTS. Si alguna vez tuviste que tomar un curso intensivo en algo para prepararte para una reunión o una sesión informativa en aproximadamente 30 minutos o 2 horas, entonces sabes de lo que estoy hablando. HSTS es la abreviatura de HTTP Strict Transport Security. Bien, ¿por qué debería importarte? HSTS es una directiva de servidor web que le dice a los agentes de usuario y navegadores cómo manejar su conexión a través del encabezado de respuesta enviado al inicio y al final del navegador. Tener esta opción activada permite que los navegadores usen HTTPS si está disponible, incluso si no escriben 'HTTPS' al principio (¡no se juzga si no lo hace!) Entonces, si esta opción no está habilitada, un mal actor podría intentar usar un ataque de intermediario, mostrar una página de inicio de sesión falsa o secuestrar cookies. (Todo el mundo siempre dice hacker en blogs y artículos, ¿por qué puede ser solo un estudiante curioso? No todos los estudiantes curiosos son hackers o lo son? De todos modos...) Hay algunas formas de verificar: Navegue a un sitio web, haga clic derecho y 'Inspeccionar'
Haga clic en 'Red' y actualice la página.
Como se indicó anteriormente, el encabezado de respuesta debe tenerlo al principio para que pueda verlo como la primera entrada cuando actualice la página.
Si ve 'seguridad de transporte estricta: max-age = xxxxxxxxxxxx', ¡está bien!
También puede utilizar una herramienta de Qualys aquí:
https://www.ssllabs[dot]com/ssltest/ y busque en 'Detalles del protocolo'. También da un montón de buena información que podría ser útil.
Para mas informacion:
knowingthepath.tech 