Safari: proteger a los usuarios del abuso de HSTS

Brent Fulgham ha publicado un artículo en el blog de WebKit, el motor detrás de Safari, explicando los cambios que se van a producir en el navegador para prevenir el abuso de HSTS.

HTTP Strict Transport Security o HTTP con Seguridad de Transporte Estricta (HSTS), es una política de seguridad web establecida para evitar ataques que puedan interceptar comunicaciones, cookies, etc. Según este mecanismo un servidor web declara que los agentes de usuario compatibles1, solamente pueden interactuar con ellos mediante conexiones HTTP seguras2. HSTS es un estándar del IETF y se especifica en el RFC 6797.

Básicamente lo que hace HSTS es una redirección desde una petición http tradicional a la versión segura de la misma, https y además, recuerda esa redirección en forma de caché para futuras conexiones. ¿El problema? que si la primera interacción está envenenada, las futuras redirecciones pueden ser manipuladas o también HSTS puede ser utilizada como una supercookie.

En el artículo en el blog, se explica cómo se están tomando medidas, en dos fases y a dos niveles, para evitar que el abuso de este estándar pueda ser utilizado para manipular o controlar la navegación de un usuario, citando específicamente que la teoría del mal uso de este estándar está siendo llevada a la práctica contra los usuarios de Safari. La protección contra este abuso llegará a nuestros navegadores en una futura versión de Safari tanto para Mac como para iOS.

Notas

  1. es decir, los navegadores
  2. es decir, en HTTP sobre TLS/SSL
In this article


Join the Conversation