HTTP Strict Transport Security: differenze tra le versioni

'''''HTTP Strict Transport Security''''' o '''''HSTS''''' (in italiano '''Sicurezza rigida per il trasporto di HTTP''') è una procedura che implementa una politica di sicurezza per le comunicazioni [[web]], necessaria a proteggere il canale [[HTTPS]] da attacchi di [[degrado della sicurezza]] (''downgrade'') e assai utile per la protezione dai [[Dirottamento di sessione|dirottamenti di sessione]].

La procedura è uno standard di Internet della [[IETF]], normato dal [[RFC]] 6797.

 

* Gli host HSTS dovrebbero dichiarare la politica HSTS nel loro nome di livello massimo: per esempio, un server in ascolto su <nowiki>https://sub.example.com</nowiki> dovrebbe rispondere con l'intestazione HSTS anche per richieste a <nowiki>https://example.com .</nowiki>

* Un host che serve <nowiki>https://www.example.com</nowiki> dovrebbe aggiungere una richiesta ad una risorsa di <nowiki>https://example.com</nowiki> , cosicché HSTS sia impostato anche per il dominio padre. In tal modo l'utente è protetto da eventuali ''cookie injection'' effettuati da un ''man-in-the-middle'' che potrebbe iniettare un riferimento verso il dominio superiore o un altro dello stesso livello (come  <nowiki>http://nonexistentpeer.example.com</nowiki>) dove risponderebbe.

 

== Articoli correlati ==

* [https://projects.dm.id.lv/Public-Key-Pins_test Online browser HSTS and Public Key Pinning test]

* [https://hstspreload.appspot.com HSTS Preload Submission] for Google Chrome, Mozilla Firefox, Safari, IE 11, and Edge{{Reflist|30em}}

 

[[Categoria:Sicurezza informatica]]