elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Introducción a Git (Primera Parte)


+  Foro de elhacker.net
|-+  Foros Generales
| |-+  Foro Libre
| | |-+  Noticias (Moderadores: wolfbcn, El_Andaluz)
| | | |-+  HTTP Strict Transport Security (HSTS), aprobado como protocolo estándar
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: HTTP Strict Transport Security (HSTS), aprobado como protocolo estándar  (Leído 2,398 veces)
wolfbcn
Moderador
***
Desconectado Desconectado

Mensajes: 53.662



Ver Perfil WWW
HTTP Strict Transport Security (HSTS), aprobado como protocolo estándar
« en: 27 Noviembre 2012, 02:24 am »

Se ha aprobado y publicado como estándar HSTS, una política y mecanismo de seguridad web que promete hacer los sitios web HTTPS más resistentes a varios tipos de ataque. Video explicativo de OWASP. HTTP Strict Transport Security (HSTS) permite a los sitios web declararse accesible sólo a través de HTTPS (HTTP Seguro) y fue diseñado para evitar que los atacantes puedan crear conexiones a través de HTTP o de abusar de los errores en las implementaciones de HTTPS, lo cual pone en peligro la integridad del contenido.

Internet Engineering Task Force (IETF), el organismo encargado de desarrollar y promover estándares de Internet, publicó la especificación HSTS como documento oficial de las normas, RFC 6797. El grupo de trabajo de IETF había estado trabajando en este protocolo desde 2010, cuando fue presentado por primera vez, como un proyecto de Jeff Hodges de PayPal, Collin Jackson, de la Universidad Carnegie Mellon y Adam Barth de Google.

HSTS evita el uso de contenido mixto (HTTP y HTTPS) que puede afectar la seguridad e integridad de los sitios web HTTPS. El contenido mixto se carga cuando algunos scripts u otros recursos incrustados en una página web habilitada para HTTPS se cargan desde una ubicación de terceros a través de una conexión insegura HTTP. Esto puede ser el resultado de un error de desarrollo o puede ser intencional.

Cuando el navegador carga el recurso inseguro que hace una solicitud a través de HTTP plano, podría enviar una cookie de sesión del usuario, un atacante puede interceptar la petición usando técnicas de sniffing y puede utilizar la cookie para secuestrar la cuenta del usuario.

El mecanismo HSTS también previene los ataques de Man-in-the-Middle, donde el atacante está en posición de interceptar la conexión del usuario y puede forzar al navegador para acceder a la versión HTTP del sitio en lugar de HTTPS. Esta técnica es conocida SSL stripping, y hay herramientas disponibles para automatizarlo.

Cuando el navegador se conecta a través de HTTPS a un sitio web que implementa HSTS, el sitio tiene una política estricta y el navegador "se negará" a iniciar conexiones no seguras a ese sitio web.

La política HSTS se transmite a través de un campo en el encabezado HTTP de respuesta llamado "Strict-Transport-Security".

HSTS es una de las mejores cosas que le han sucedido a SSL, ya que soluciona algunos de los errores cometidos en el diseño del protocolo original hace 18 años. HSTS no se basa en advertencias del certificado digital sino que si se detecta un problema con la implementación de HTTPS, el navegador simplemente rechaza la conexión y no se ofrecen a los usuarios la oportunidad de anular la decisión.

Como corolario, HTTPS Now permite a los usuarios contribuir con información acerca de cómo los sitios webs utilizan HTTPS y HSTS.

FUENTE :http://www.laflecha.net/canales/seguridad/noticias/http-strict-transport-security-hsts-aprobado-como-protocolo-estandar


En línea

La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.
kasiko

Desconectado Desconectado

Mensajes: 218



Ver Perfil
Re: HTTP Strict Transport Security (HSTS), aprobado como protocolo estándar
« Respuesta #1 en: 27 Noviembre 2012, 04:36 am »

Pues tendremos que estudiar este protocolo..  :rolleyes:


En línea

Nos vemos...

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Jugando con el protocolo HTTP. Cliente/Servidor.
Programación Visual Basic
Hole_System 3 2,173 Último mensaje 7 Mayo 2008, 20:31 pm
por Freeze.
[Proyecto] Trabajando con el protocolo HTTP
Programación Visual Basic
Sancho.Mazorka 7 3,219 Último mensaje 24 Octubre 2010, 08:52 am
por Sancho.Mazorka
protocolo http
Redes
soyloqbuskas 1 2,134 Último mensaje 16 Agosto 2012, 01:09 am
por soyloqbuskas
HSTS (HTTP Strict Transport Security protocol), camino de convertirse en ...
Noticias
wolfbcn 0 1,681 Último mensaje 7 Octubre 2012, 01:33 am
por wolfbcn
Aprobado el estándar G.Fast que dará 1 Gbps sobre ADSL
Noticias
wolfbcn 0 4,706 Último mensaje 9 Diciembre 2014, 21:58 pm
por wolfbcn
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines