HSTS è un'intestazione di risposta di sicurezza Web. Il nome è l'acronimo di "HTTP Strict Transport Security". La funzione dell'intestazione HSTS è quella di forzare i browser a connettersi ai siti Web utilizzando HTTPS.
Suggerimento: HTTPS utilizza la crittografia per proteggere la tua connessione web dagli hacker che tentano di modificarla o monitorarla. HTTP non ha queste protezioni e quindi un hacker nel posto giusto potrebbe monitorare e modificare il tuo traffico HTTP.
Un'intestazione di risposta web è un pezzo di metadati inviato dal server quando risponde alle richieste web. Un sottoinsieme di queste intestazioni viene spesso definito intestazioni di sicurezza poiché il loro scopo è aumentare la sicurezza del sito Web e dell'utente.
L'intestazione HSTS ha due parti obbligatorie e due facoltative. Il nome dell'intestazione "Strict-Transport-Security" e quindi l'operatore e il valore "max-age" sono entrambi obbligatori. A volte viene utilizzata anche un'altra coppia di operatori, "includeSubDomains" e "preload".
Quando il browser riceve una risposta HTTPS con l'intestazione HSTS, gli viene chiesto di connettersi a questo sito Web e a tutte le risorse su di esso, utilizzando esclusivamente HTTPS per la durata del timer "max-età". “Max-age” è una variabile che descrive per quanto tempo un'impostazione deve essere ricordata dal browser. Il valore di "max-età" è elencato in secondi, il valore consigliato è "31536000", che è un anno.
L'idea è che entro la durata di questo timer, che viene reimpostato ad ogni successivo caricamento della pagina, il browser richiederà una connessione HTTPS e rifiuterà qualsiasi risorsa HTTP. Questo protegge dagli attacchi person-in-the-middle, in cui un hacker tra te e il server web può manipolare le risposte che ricevi.
Il punto principale in cui questo ti protegge è la prima connessione. In genere, quando ci si connette a un sito Web, è possibile richiedere il sito Web HTTP e quindi essere inoltrati al sito Web HTTPS. Sfortunatamente, un hacker in una posizione intermedia potrebbe impedire questo aggiornamento a HTTPS e potrebbe quindi rubare o monitorare la tua attività sul sito web. Una volta che l'intestazione HSTS è stata vista dal browser, tuttavia, il tuo browser effettuerà anche la prima connessione su HTTPS, proteggendoti dagli hacker.
HSTS impedisce inoltre il caricamento di risorse non sicure che potrebbero anche essere modificate in modo dannoso da un utente malintenzionato se fornite tramite HTTP.
L'operatore "includeSubDomains" viene utilizzato per indicare che l'intestazione deve essere applicata anche a tutti i sottodomini del sito web.
Potresti notare che HSTS non ti protegge ancora la prima volta che ti connetti a un sito web. È qui che entra in gioco l'operatore "preload". I siti Web possono presentarsi per essere inclusi nell'elenco di preload HSTS, l'operatore "preload" è un indicatore obbligatorio se questo è il caso. L'elenco di precaricamento HSTS viene regolarmente aggiornato e memorizzato nel browser, se un sito è incluso in esso, il browser applicherà le protezioni HSTS. Ciò accade anche alla prima connessione prima che il browser possa aver visto l'intestazione della risposta HSTS.
Suggerimento: è necessario aggiungere un'età massima di un anno o più all'elenco di precaricamento HSTS.
Uno dei punti principali di HSTS è che presenta un messaggio di errore in caso di problemi con la connessione HTTPS. Come ulteriore precauzione di sicurezza, gli utenti non dovrebbero essere in grado di ignorare i messaggi di errore HSTS, come farebbero con i normali errori HTTPS.
Sfortunatamente, ciò può causare problemi se un'azienda implementa HSTS prima dell'intero sito Web e ogni risorsa utilizzata su di esso supporta HTTPS. In questo caso, gli utenti inizieranno a vedere messaggi di errore di sicurezza HSTS che non possono ignorare, sostanzialmente interrompendo completamente il sito web. La parte peggiore è che la semplice rimozione dell'intestazione HSTS non risolve il problema per quegli utenti, poiché il loro browser continuerà a imporre HSTS per l'"età massima" potenzialmente lunga mesi.
Pertanto, è di fondamentale importanza che venga utilizzata una breve "età massima" quando si distribuisce per la prima volta l'intestazione. Se ci sono problemi, persistono solo per un breve periodo una volta scoperti. Solo una volta che sei sicuro che il tuo sito web sia completamente conforme a HSTS dovresti configurare un timer HSTS lungo.
Suggerimento: è anche possibile impostare una "età massima" di 0, questo essenzialmente rimuove la voce HSTS salvata da chiunque la veda. Questo può aiutare se c'è un problema, ma interesserà solo gli utenti quando e se decidono di riprovare.
Se le app e i programmi non pinnati continuano a riapparire nella barra delle applicazioni, puoi modificare il file Layout XML e rimuovere le righe personalizzate.
In questo tutorial ti mostriamo come eseguire un soft o hard reset sull
Ci sono così tante fantastiche app su Google Play che non puoi fare a meno di iscriverti. Dopo un po
Cercare nella propria tasca o portafoglio il giusto documento di pagamento può essere un vero disagio. Negli ultimi anni, diverse aziende hanno sviluppato e lanciato soluzioni di pagamento contactless.
Eliminare la cronologia dei download di Android aiuta a liberare spazio di archiviazione, tra le altre cose. Ecco i passaggi da seguire.
Questa guida ti mostra come eliminare foto e video da Facebook utilizzando un PC, un dispositivo Android o iOS.
Abbiamo trascorso del tempo con il Galaxy Tab S9 Ultra, e si tratta del tablet perfetto da abbinare al tuo PC Windows o al Galaxy S23.
Disattiva i messaggi di testo di gruppo su Android 11 per mantenere sotto controllo le notifiche per l
Cancella la cronologia degli URL nella barra degli indirizzi di Firefox e mantieni le tue sessioni private seguendo questi rapidi e facili passi.
Per segnalare un truffatore su Facebook, clicca su Altre opzioni e seleziona Trova supporto o segnala profilo. Compila poi il modulo di segnalazione.
