HTTP Strict Transport Security: differenze tra le versioni
Contenuto cancellato Contenuto aggiunto
m →Collegamenti esterni: Riordinamento per rilevanza e pertinenza. Aggiunta etichetta lingua. |
m →Panoramica della procedura: Diffuse migliorie di forma. |
||
Riga 22:
== Panoramica della procedura ==
Un server implementa la politica HSTS
Per esempio, un server potrebbe inviare un'
In tal caso, dato che il parametro ''max-age'' è espresso in secondi e che 31.536.000
:<code>Strict-Transport-Security: max-age=31536000; includeSubDomains;</code>. Quando un'applicazione web<ref name="webapp"><cite class="citation web" contenteditable="false">Nations, Daniel.</cite></ref> dichiara agli ''user agent
# Ogni collegamento non sicuro è trasformato in un collegamento sicuro, cioè, per esempio, <code><nowiki>http://example.com/some/page/</nowiki></code> è modificato in <code><nowiki>https://example.com/some/page/</nowiki></code> ''prima'' che tale risorsa utilizzata.
# Se la sicurezza della connessione non è considerata affidabile, ad esempio se il certificato [[Transport Layer Security|TLS]] non è tale, un messaggio d'errore è mostrato all'utente e l'accesso all'applicazione web è impedito.<ref name="hsts-no-user-recourse"><cite class="citation web" contenteditable="false">Hodges, Jeff; Jackson, Collin; Barth, Adam (November 2012). </cite></ref>
La politica HSTS aiuta a proteggere gli utenti delle applicazioni web da certi attacchi passivi (''eavesdropping'') o attivi:<ref name="hsts-threats-addressed">{{Template:Cite web|url = https://tools.ietf.org/html/rfc6797#section-2.3|title = 2.3. Threat Model|work = RFC 6797|publisher = IETF|last = Hodges|first = Jeff|author2 = Jackson, Collin|author3 = Barth, Adam|date = November 2012|accessdate = 21 November 2012}}</ref> in un [[Attacco man in the middle|attacco man-in-the-middle]] è molto più difficile intercettare domande e risposte tra l'utente e l'applicazione web quando il primo è in modalità HSTS rispetto alla seconda.
== Applicabilità ==
| |||