Recherche : [HSTS] - Liens de @Jeekajoo

4623 shaares · 397 liens privés

Filtres

Liens par page

20 50 100

3 résultats taggé HSTS

HSTS Preload Submission

Ajouter son site à la liste (https://code.google.com/p/chromium/codesearch#chromium/src/net/http/transport_security_state_static.json) maintenue par l'équipe de chromium et également utilisée par Firefox, Safari et bientôt le nouveau IE.

Conditions techniques:
"""
1 Have a valid certificate.
2 Redirect all HTTP traffic to HTTPS—i.e. be HTTPS only.
3 Serve all subdomains over HTTPS, specifically including the www subdomain if a DNS record for that subdomain exists.
4 Serve an HSTS header on the base domain:
Expiry must be at least eighteen weeks (10886400 seconds).
The includeSubdomains token must be specified.
The preload token must be specified.
If you are serving a redirect, that redirect must have the HSTS header, not the page it redirects to.
"""

Faut pas se planter car on peut pas vraiment revenir en arrière.
"""
Be aware that inclusion in the preload list cannot really be undone. You can request to be removed, but it will take months for the deleted entry to reach users with a Chrome update and we cannot make guarantees about other browser vendors. Don't request inclusion unless you're sure that you can support HTTPS for the long term.
"""
Dans le cas de chromium, mettre du HSTS sur un site dont le certificat n'est pas reconnu (ou en tout cas pas ajouté aux magasins des certificats) empêchera purement et simplement l'accès au site. C'est pour cela que je n'en mets pas pour pub.jeekajoo.eu, car tout le monde n'a pas rajouté le root CA de cacert.org.

Rappel sur ce qu'est HSTS: https://fr.wikipedia.org/wiki/HTTP_Strict_Transport_Security

HSTS · tls · browser · ssl · security

June 23, 2015 at 22:37:50 GMT+2 * · permalien

·

https://hstspreload.appspot.com/

·

BrowserLeaks.com — Web Browser Security Checklist for Identity Theft Protection

un site qui répertorie toutes les formes de tracking web

cependant il manque le tracking via les cookies HSTS
http://www.radicalresearch.co.uk/lab/hstssupercookies/

tracking · web · hsts

January 15, 2015 at 12:00:36 GMT+1 * · permalien

·

http://www.browserleaks.com/

·

HTTP Strict Transport Security - The Chromium Projects

Je l'ignorais mais Firefox et Chromium (et bientôt IE, mais on s'en fou) font du HSTS preloading.
Cela signifie que pour une liste de sites (http://src.chromium.org/viewvc/chrome/trunk/src/net/http/transport_security_state_static.json) le navigateur va envoyer des headers HSTS pour garantir que la première connexion (du moins celle du serveur vers le client) et le reste des communications se feront en TLS de manière obligatoire.
Cela permet de se prémunir des attaques dites de "SSL stripping" dont voici un PoC: http://www.thoughtcrime.org/software/sslstrip/. C'est une sorte attaque MITM qui est faite avant que la connexion soit chiffrée.
Source de l'info: https://www.imperialviolet.org/2014/07/06/newtlds.html

tls · ssl · security · hsts

July 7, 2014 at 23:12:49 GMT+2 * · permalien

·

http://www.chromium.org/sts

·