HTTP Strict Transport Security o HTTP con Seguridad de Transporte Estricta (HSTS), es una política de seguridad web establecida para evitar ataques que puedan interceptar comunicaciones, cookies, etc. Según este mecanismo un servidor web declara que los agentes de usuario compatibles[note]es decir, los navegadores[/note], solamente pueden interactuar con ellos mediante conexiones HTTP seguras[note]es decir, en HTTP sobre TLS/SSL[/note]. HSTS es un estándar del IETF y se especifica en el RFC 6797.
Básicamente lo que hace HSTS es una redirección desde una petición http tradicional a la versión segura de la misma, https y además, recuerda esa redirección en forma de caché para futuras conexiones. ¿El problema? que si la primera interacción está envenenada, las futuras redirecciones pueden ser manipuladas o también HSTS puede ser utilizada como una supercookie.
En el artículo en el blog, se explica cómo se están tomando medidas, en dos fases y a dos niveles, para evitar que el abuso de este estándar pueda ser utilizado para manipular o controlar la navegación de un usuario, citando específicamente que la teoría del mal uso de este estándar está siendo llevada a la práctica contra los usuarios de Safari. La protección contra este abuso llegará a nuestros navegadores en una futura versión de Safari tanto para Mac como para iOS.
