6 de diciembre de 2016

Como entender e implementar #HSTS y #HPKP

HSTS y HPKP se han convertido en poco tiempo en mecanismos de seguridad web que programadores, auditores y usuarios debemos conocer. Ésto es una medida más que podemos implementar para el correcto funcionamiento de protocolos https utilizando ciertas configuraciones en los servidores web y compatibilidades con los navegadores.


HTTP Strict Transport Security (o Seguridad de transporte HTTP estricta) HSTS es un mecanismo de política de seguridad web según la cual un servidor web declara a los agentes de usuario compatibles (por ejemplo, un navegador web) que deben interactuar con ellos solamente mediante conexiones HTTP seguras (es decir, en capas HTTP sobre TLS/SSLnotas 1 ). La política HSTS especifica un período de tiempo durante el cual el agente de usuario deberá acceder al servidor sólo en forma segura.

HTTP Public Key Pinning (HPKP) es un mecanismo de seguridad que permite a los sitios web que implementan HTTPS resistir la suplantación por parte de los atacantes utilizando certificados falsos o fraudulentos y los ataques Man-in-the-middle.

En esta primera oportunidad, Diego Espitia @dsespitia en uno de los eventos #11PathsTalks nos muestra una interesante introducción a HSTS y todas las configuraciones que se puede implementar en los diferentes servidores webs.


Por otro lado, hace apenas un par de días, se llevó a cabo una nueva edición de CiberCamp 2016 organizado por INCIBE, allí participaron Carmen Torrano @ctorranog junto a Pablo González @pablogonzalezpe en un taller llamado HSTS & HPKP: Batman y Robin para defender la navegación web. En donde Carmen como Pablo por medio de diferentes ejemplos nos muestra las diferencias entre HSTS y HPKP, los riesgos, vulnerabilidades y algunas cosas más.


Además se encuentran las diapositivas para seguir junto a los chicos el paso a paso de cada una de las demostraciones y los ejemplos que proponen.


HSTS y HPKP son dos temas muy interesantes para continuar investigando, implementarlos y buscar nuevas amenazas.

Saludos!

Entradas populares