Nessun risultato. Prova con un altro termine.
Guide
Notizie
Software
Tutorial

Internet Explorer supporta HSTS per le connessioni sicure

Link copiato negli appunti

Gli sviluppatori della Casa di Redmond starebbero continuando ad operare in un'ottica finalizzata alla maggiore interoperabilità del loro browser con le tecnologie per la sicurezza in navigazione, a testimoniarlo vi sarebbe il recente annuncio riguardante l'introduzione del supporto per HSTS (HTTP Strict Transport Security); questa nuova feature dovrebbe essere disponibile nella versione dell'applicazione presente in Windows 10 Technical Preview, più tardi vi dovrebbe essere l'integrazione anche in Spartan.

Sostanzialmente HSTS può essere definita come una politica di sicurezza per la quale un Web server comunica con un browser utilizzando esclusivamente HTTPS, tale policy viene trasmessa via user agent tramite il response header Strict-Transport-Security e dovrebbe garantire un buon livello di protezione contro attacchi crittografici di tipo man-in-the-middle, dove un utente estraneo ad una comunicazione potrebbe accedere ai messaggi tra due interlocutori, anche modificandoli, senza che questi ultimi ne siano al corrente.

L'HSTS può rivelarsi particolarmente utile quando una comunicazione viene iniziata nella versione non cifrata di un sito Web per poi essere redirezionata su una connessione sicura; in tal caso infatti un utente malintenzionato potrebbe riuscire a forzare il redirect in modo che esso conduca ad una pagina appositamente confezionata per l'attacco; Internet Explorer utilizzerà la HSTS preload list di Chromium (circa 2000 record in un file JSON) per garantire che il passaggio da HTTP a HTTPS, nel caso in cui un sito Web non sia presente in tale elenco sarà comunque possibile abilitare HSTS tramite l'intestazione HTTP Strict-Transport-Security.

Se da una parte HSTS appare una scelta consigliabile dal punto di vista della sicurezza, essa pone però dei vincoli, si tratta infatti di un meccanismo che non supporta il "mixed content", motivo per il quale tutti i contenuti dovranno essere veicolati tramite connessione sicura, inoltre, tale policy non permette di ignorare la notifica di una connessione insicura, motivo per il quale dopo la segnalazione di un errore nel certificato il collegamento corrente verrà abortito.

Via IEBlog

Ti consigliamo anche