Wikipedia

HTTP Strict Transport Security: differenze tra le versioni

Naviga nella cronologia in modo interattivo
← Differenza precedenteDifferenza successiva →
Contenuto cancellato Contenuto aggiunto
VisualeWikitesto
Nessun oggetto della modifica
Atarubot (discussione | contributi)
550 442 modifiche
Corretti parametri ref duplicati
Riga 40:
Inoltre il processo di regressione di sicurezza non genera alcun messaggio d'avvertimento all'utente, rendendo l'attacco discreto agli occhi di quasi chiunque. Lo strumento sslstrip di Marlinspike automatizza completamente tale attacco.
 
HSTS si occupa di questo problema<ref name="hsts-threats-addressed">{{Template:Cite web|url = https://tools.ietf.org/html/rfc6797#section-2.3|title = 2.3. Threat Model|work = RFC 6797|publisher = IETF|last = Hodges|first = Jeff|author2 = Jackson, Collin|author3 = Barth, Adam|date = November 2012|accessdate = 21 November 2012}}</ref> informando il browser che le sue connessioni al sito dovrebbero fare sempre uso di  TLS/SSL.
Visto che l'intestazione HSTS può però essere comunque manomessa da un attaccante nel momento della prima visita da parte di un utente, [[Google Chrome]], [[Mozilla Firefox]], [[Internet Explorer]] e [[Microsoft Edge]] cercano di limitare la problematica  inserendo un elenco preliminare dei siti HSTS.<ref name="preloading_hsts_chromium">{{Template:Cite web|url = https://www.chromium.org/sts|author = Adam Langley|title = Strict Transport Security|work = The Chromium Projects|date = 8 July 2010|accessdate = 22 July 2010}}</ref><ref name="preloading_hsts_mozillla"><cite class="citation web" contenteditable="false">David Keeler (1 November 2012). </cite></ref><ref name="iepreload">{{Template:Cite web|url = http://blogs.msdn.com/b/ie/archive/2015/02/16/http-strict-transport-security-comes-to-internet-explorer.aspx|title = HTTP Strict Transport Security comes to Internet Explorer|accessdate = 16 February 2015|author = Bell, Mike; Walp, David|date = February 16, 2015}}</ref>
Nel prossimo paragrafo [[Strict Transport Security|Limiti]] si discuterà anche di come questa soluzione sia necessariamente insufficiente, dato che il suddetto elenco non può essere esaustivo.
Riga 53:
Lo stesso vale per la prima richiesta che sia effettuata dopo la scadenza del periodo precisato dal parametro <code><nowiki>max-age</nowiki></code> annunciato nella politica HSTS.
I siti dovrebbero pertanto impostare una durata di diversi giorni o di diversi mesi, a seconda dall'attività e comportamento degli utenti.
I browser [[Google Chrome]], [[Mozilla Firefox]] e [[Internet Explorer]]/[[Microsoft Edge]] si occupano di questo limite del protocollo implementando una «lista preliminare STS»: un elenco di siti noti che supportano HSTS<ref name="preloading_hsts_chromium">{{Template:Cite web|url = https://www.chromium.org/sts|author = Adam Langley|title = Strict Transport Security|work = The Chromium Projects|date = 8 July 2010|accessdate = 22 July 2010}}</ref><ref name="preloading_hsts_mozillla"/><ref name="iepreload">{{Template:Cite web|url = http://blogs.msdn.com/b/ie/archive/2015/02/16/http-strict-transport-security-comes-to-internet-explorer.aspx|title = HTTP Strict Transport Security comes to Internet Explorer|accessdate = 16 February 2015|author = Bell, Mike; Walp, David|date = February 16, 2015}}</ref> che è distribuito direttamente all'interno del browser e che fa sì che questo usi HTTPS anche per la prima richiesta.
Ciononostante, come precedentemente accennato, tale lista non può elencare ogni sito web presente su Internet.
Una possibile soluzione potrebbe essere realizzata usando i record [[Domain Name System|DNS]] per dichiarare la politica HSTS ed accedendo a tali informazioni col protocollo [[DNSSEC]], eventualmente avvalendosi di impronte digitali dei certificati per garantirne la validità, che a sua volta richiede un client di risoluzione DNS che verifichi quest'ultima per evitare problematiche nell'[[Ultimo miglio|ultimo miglio di connessione]].<ref><cite class="citation web" contenteditable="false">Butcher, Simon (11 September 2011). </cite></ref>
Riga 65:
 
*[[Chromium]] e [[Google Chrome]] dalla versione 4.0.211.0<ref name="chromium_sts">{{Template:Cite web|url = https://dev.chromium.org/sts|author = The Chromium Developers|title = Strict Transport Security - The Chromium Projects|date = 17 November 2010|accessdate = 17 November 2010}}</ref><ref><cite class="citation web" contenteditable="false">Jeff Hodges (18 September 2009). [http://lists.w3.org/Archives/Public/public-webapps/2009JulSep/1148.html "fyi: Strict Transport Security specification"]<span class="reference-accessdate">. </span></cite></ref>
* [[Mozilla Firefox|Firefox]] dalla versione 4;<ref><cite class="citation web">[https://blog.mozilla.org/security/2010/08/27/http-strict-transport-security/ "HTTP Strict Transport Security"]. </cite></ref> la versione 17 contiene una lista di siti che supportano HSTS.<ref name="preloading_hsts_mozillla"><cite class="citation web" contenteditable="false">David Keeler (1 November 2012). </cite></ref>
* [[Opera (browser)|Opera]] dalla versione 12<ref name="opera_presto">{{Template:Cite web|url = http://www.opera.com/docs/specs/presto2.10/#m210-244|author = Opera Software ASA|title = Web specifications support in Opera Presto 2.10|date = 23 April 2012|accessdate = 8 May 2012}}</ref>
* [[Safari (browser)|Safari]] da [[OS X Mavericks]]<ref><cite class="citation web">@agl__ (Adam Langley). </cite></ref>
Estratto da "https://it.wikipedia.org/wiki/HTTP_Strict_Transport_Security"