En términos simples, ¿cuál es la diferencia entre HSTS y HTTPS?

HTTP Strict Transport Security (HSTS) es un mecanismo de política de seguridad web que ayuda a proteger los sitios web contra ataques de degradación de protocolo y secuestro de cookies

Si nos hacemos una pregunta, ¿es HSTS una seguridad adicional sobre HTTPS? Entonces la respuesta es sí.

si está utilizando SSL en todo el sitio, definitivamente recomiendo habilitar HSTS

¿Qué hacían las personas antes que los teléfonos celulares?
Si el almacenamiento de energía no fuera un problema, ¿qué tecnología proporcionaría una mejor potencia / velocidad en un vehículo (automóvil, avión, bote, etc.), un motor eléctrico o un motor de combustible fósil?
¿Por qué no se unen Microsoft y Apple?
La subcontratación es ineficiente, entonces, ¿de qué manera la subcontratación emerge en el régimen de mercado que se supone que es eficiente?
Hogar digital: "¿Por qué los altavoces de Bose son pequeños pero tienen una gran fidelidad y rendimiento?"

HSTS es una medida de seguridad importante para derrotar los ataques de intermediarios que cambian al usuario a HTTP y luego lo atacan. Por ejemplo, sslstrip es una herramienta bien conocida para montar dicho ataque. Para más detalles sobre este tipo de ataque

HSTS le dice al navegador: nunca use HTTP con este sitio. Solo acceda a través de HTTPS. Por lo tanto, para habilitar HSTS, debe asegurarse de que su sitio funcione con HTTPS y solo HTTPS. Esto incluye todo: HTML, CSS, Javascript, todo. Asegúrese de que todo el CSS y Javascript en su sitio esté disponible a través de HTTPS. Además, le sugiero que convierta sus páginas para hacer referencia a todo a través de HTTPS

Por ejemplo, supongamos que su sitio es www.example.com y tiene una página https://www.example.com/buy.html que incluye algunos Javascript de su sitio. Debe asegurarse de que su archivo Javascript esté disponible en una URL HTTPS (por ejemplo, https://www.example.com/library.js ). Le recomiendo que lo cargue a través de una URL HTTPS (por ejemplo, ).

PD: También le recomiendo que establezca el indicador de secure en todas las cookies que utiliza.

Explicaciones del laicoHTTPHTTPSInternetseguridad de Internetseguridad de la informaciónSeguridad informáticaTecnología

¿Qué curva se usa en televisores curvos y por qué?

¿Cómo se puede justificar gastar 30 o 40K Rs para teléfonos inteligentes? ¿Vale la pena?

¿Cuáles son las fallas de seguridad en los dispositivos IoT?

¿Qué tecnologías web utiliza Saxo Bank para ser tan rápido y flexible?

¿Los avances tecnológicos y el avance de las culturas conducirán a largo plazo a la extinción de la raza humana?

Cómo mantener una copia de seguridad en la nube

HSTS (HTTP Strict Transport Security) lanzado en noviembre de 2012, es un estándar relativamente nuevo que aplica el cifrado en el nombre de host para el que está habilitado. Opcionalmente, puede aplicar el cifrado en todos los subdominios. Con este enfoque, un atacante MitM no puede inyectar ninguna cookie utilizando el truco de DNS, ya que se requeriría cifrado. HSTS reduce significativamente la superficie de ataque, pero no es infalible. Primero, no es compatible con todos los navegadores. En segundo lugar, no maneja casos en los que sitios relacionados genuinos (encriptados) se vean comprometidos o ejecutados por entidades diferentes y no confiables. En otras palabras, HSTS es un encabezado HTTP que le dice al cliente que un cierto dominio / subdominio siempre debe ser accedido por el protocolo HTTPS.

Para HTTPS, simplemente revise esta respuesta escrita aquí en Quora para “¿Cuál es el significado de HTTPS?” En esto se explica en detalle qué es y cuáles son las ventajas de tenerlo en su sitio web y por qué es necesario tenerlo. para algunos de la organización.

Andrew Daviel

HTTPS es realmente “https”, el especificador de transporte web para una URL segura. http: // xxx significa usar HTTP, ftp: // xxx significa usar FTP y https: // xxx significa usar HTTP con encriptación SSL. Es una directiva para el navegador decirle cuál usar. En los primeros días de la web, también veías sitios con gopher: // xxx y el dedo impar: // xxx (otros mecanismos de transporte que no son HTTP).

HSTS es un token mágico que un operador de sitio web puede agregar a un sitio web, que le dice a su navegador que solo use https: // la próxima vez que visite, por lo que no se lo engañará para que visite a un impostor que se ha equivocado con su conexión de red.

Andrew Daviel

More Interesting

¿Cuál es el mejor seguro de gadgets para iPhone?

¿Debería comprar un televisor Samsung SUHD o LG OLED?

Robótica: ¿Qué tecnología o tecnologías fueron más importantes para habilitar los "cuadricópteros" que son tan populares últimamente?

¿Cuáles son algunos productos tecnológicos que aumentan la productividad?

Cómo construir etiquetas NFC

¿Cómo cambiaría el mundo un generador de energía infinita?

¿Hay algún tipo de misión que el B-52H pueda realizar que no sería posible con su reemplazo futuro?

¿Es realmente posible tener un traje blindado como Iron Man?

¿Cómo sería el mundo de hoy si Europa hubiera desaparecido repentinamente en el año 1000 DC?

¿Cómo funciona el sistema de anuncios de trenes ferroviarios indios?