HTTP Strict Transport Security: differenze tra le versioni

Naviga nella cronologia in modo interattivo

← Differenza precedente

Contenuto cancellato Contenuto aggiunto

VisualeWikitesto

Versione delle 22:49, 21 apr 2022 modifica Pil56 (discussione \| contributi) Amministratori 458 189 modifiche m smistamento lavoro sporco e fix vari Etichetta: AWB ← Differenza precedente		Versione attuale delle 15:12, 1 ott 2024 modifica annulla GioAran (discussione \| contributi) 16 modifiche →Limiti: eliminata la parte (copiata da en.wikipedia) che conteneva considerazioni personali e non supportate da dati tecnici sulla capacità di DNSSEC di comunicare campi HSTS per la mitigazione dell'attacco di downgrade Etichetta: Modifica visuale
(Una versione intermedia di uno stesso utente non è mostrata)
Riga 49: I browser [[Google Chrome]], [[Mozilla Firefox]] e [[Internet Explorer]]/[[Microsoft Edge]] si occupano di questo limite del protocollo implementando una «lista preliminare STS»: un elenco di siti noti che supportano HSTS<ref name="preloading_hsts_chromium"/><ref name="preloading_hsts_mozilla"/><ref name="iepreload"/> che è distribuito direttamente all'interno del browser e che fa sì che questo usi HTTPS anche per la prima richiesta. Ciononostante, come precedentemente accennato, tale lista non può elencare ogni sito web presente su Internet. Una possibile soluzione potrebbe essere realizzata usando i record [[Domain Name System\|DNS]] per dichiarare la politica HSTS ed accedendo a tali informazioni col protocollo [[DNSSEC]], eventualmente avvalendosi di impronte digitali dei certificati per garantirne la validità, che a sua volta richiede un client di risoluzione DNS che verifichi quest'ultima per evitare problematiche nell'[[Ultimo miglio\|ultimo miglio di connessione]].<ref>Simon Butcher (11 settembre 2011).</ref> Anche quando provvisto della «lista preliminare STS», il meccanismo HSTS non è comunque in grado di proteggere da attacchi che riguardino lo stesso livello di sicurezza TLS, quali ad esempio il ~~[[Transport Layer Security\|~~BEAST]] o il CRIME ideati da Juliano Rizzo e Thai Duong: il mantenimento della politica HSTS è ininfluente e irrilevante di fronte a questo tipo di attacchi. Per una più estesa discussione della sicurezza di HSTS, si veda il RFC 6797.<ref name="hsts-seccons">{{Cita web\|url= https://tools.ietf.org/html/rfc6797#section-14\|titolo= Section 14. Security Considerations\|sito= RFC 6797\|editore= IETF\|cognome= Hodges\|nome= Jeff\|autore2= Collin Jackson\|autore3= Adam Barth\|data= novembre 2012\|accesso= 21 novembre 2012}}</ref>