Saludos,
- He estado haciendo las pruebas y pues sí efectívamente editar Hosts al estilo 127.0.0.1 facebook.com no funciona.
- Según he estado leyendo y como bien dice engel lex, HSTS hace que los servidores especifiquen que solo se va usar https para acceder a dicho servidor, esto el navegador web lo recuerda un tiempo determinado, a esto le llaman HSTS Super Cookie.
- Pero la historia no acaba ahí, ya que también existe algo llamado PinSets que especifican una SPKI Hash a comprobar para cada servidor web.
- Google Chrome tiene una lista blanca de HSTS y PinSets para ciertos sitios web, que carga built-in, así que está ciertamente protegido de falsificaciones o imitaciones.
- Por esto, cuando borro la cache HSTS de Google para intentar que me funcione mi hosts con facebook.com, este no funciona ya que HSTS es built-in y bien dice la advertencia Chrome:
Delete domain security policies
Input a domain name to delete its dynamic domain security policies (HSTS and Expect-CT). (You cannot delete preloaded entries.):
- En Firefox también tiene una pequeña lista de 33 entradas HSTS built-in comparada con las miles que trae Chrome, aquí también figura
www.facebook.com, pero se puede saltar con facebook.com o facebook.es, etc. No ví si trae PinSets ...
-----
Fuentes:
Chrome HSTS y PinSet Built-In file:
https://cs.chromium.org/codesearch/f/chromium/src/net/http/transport_security_state_static.json?cl=70811d0b157d471fdfa6e8dde2460cbf36250d00Chrome ver/eliminar HSTS, PKP PinSet:
chrome://net-internals/#hsts
Firefox HSTS Built-In file:
%appdata%\Mozilla\Firefox\Profiles\*.default-release\SecurityPreloadState.txt
Implementar HSTS en el Servidor:
https://developer.mozilla.org/es/docs/Web/HTTP/Headers/Strict-Transport-SecurityImplementar PinSet HTTP Public Key Pinning (HPKP) en el Servidor:
https://developer.mozilla.org/en-US/docs/Web/HTTP/Public_Key_PinningArtículo: Qué es el seguimiento HSTS y cómo podemos evitarlo
https://www.genbeta.com/navegadores/que-es-el-seguimiento-hsts-y-como-podemos-evitarlo
Autor
En línea
