Revísalo, Qué es el seguimiento HSTS y cómo podemos evitarlo 16/11/2015
Aprobado por la IETF a finales de 2012 y diseñado para garantizar las conexiones seguras mediante HTTPS, el protocolo HSTS o Http Strict Transport Security es un mecanismo soportado por los principales servidores web –Apache, NGNIX- y la mayoría de navegadores (incluso Internet Explorer desde febrero), que reduce las posibilidades de que un atacante pueda interceptar nuestras comunicaciones y recopilar cookies y datos similares intercambiados durante la sesión.
El estándar permite que el servidor y el navegador web o "User Agent", interactúen de manera más fiable, empleando protocolos de transporte como TSL/SSL. Así, es capaz de acabar con variados ataques de red y también con algunos errores cometidos por los desarrolladores de los distintos sites (por ejemplo, el uso de conexiones no seguras para descargar recursos de la web). Pero ¿cómo funciona exactamente? ¿En qué consiste el seguimiento HSTS?
Cómo funciona HSTS
De esta manera y al margen de determinar cómo deben actuar el broswer y el servidor, HSTS incorpora un encabezado de estricta seguridad de transporte (Strict-Transport-Security), que informa a este primero de que sus conexiones tienen que utilizar HTTPS.
A partir de ese momento, el explorador sabrá que todas las peticiones a este dominio y subdominio, deben seguir este protocolo. Las cabeceras HSTS, asimismo, quedarán almacenadas en el navegador (en forma de lista), algo que se aplicará durante un tiempo determinado. ¿El resultado? Que cualquier fallo o advertencia de seguridad abortará la conexión (entre otros).
Seguimiento HSTS
Sin embargo, y paradójicamente –ya que su objetivo es el de mejorar la seguridad, como apuntábamos-, el protocolo también hace posible el seguimiento por parte de una web. Es decir, ese flag que el servidor envía a nuestro navegador y que este almacena, es un valor binario que se puede manipular para realizar un control de la actividad del internauta.
Una vulnerabilidad que fue descubierta por Sam Greenhalgh, un consultor de tecnología y software que encontró la manera de convertir esta característica –que te asigna un identificador único- en un potencial peligro para nuestra privacidad. Su hallazgo, de hecho, es conocido como HSTS Súper Cookies, un mecanismo de seguimiento análogo al de las cookies convencionales que puede incluso eludir el modo incógnito.
Para protegernos podemos optar por varias soluciones. En Chrome, por ejemplo, nos bastará con borrar las cookies antes de entrar en esta forma de navegación, y en Safari solo tendremos que eliminar la caché HSTS, deshaciéndonos del correspondiente archivo (con el navegador cerrado) ~ / Library / Cookies / HSTS.plist.
En Firefox, por otra parte, resulta recomendable limpiar las preferencias del site cada vez que acabemos, una acción con la que nos desharemos de toda la información HSTS guardada en el archivo SiteSecurityServiceState.txt. También puedes optar por programas como CCleaner, que realizan una limpieza automática de estas súper galletas, o ejecutar este comando local: echo ''> /SiteSecurityServiceState.txt.
Vía | Instituto Nacional de Ciberseguridad y Ghacks
Imagen | Pixabay
En Genbeta | HSTS (HTTP Strict Transport Security protocol), camino de convertirse en estándar
También te recomendamos
Chrome recurrirá a suspender tus pestañas cuando el sistema necesite memoria RAM
¿Quieres deshacerte de Flash? Así podrás desinstalarlo de Windows, Linux o Mac OS X
¿Qué necesitas para ser miembro de una startup? Actitud y conocimientos
-
La noticia Qué es el seguimiento HSTS y cómo podemos evitarlo fue publicada originalmente en Genbeta por Águeda A.Llorca .
Revísalo, Waze para iOS ya aprovecha el 3D Touch 17/11/2015
Waze, aplicación de Google para poder obtener información en tiempo real mientras conducimos, acaba de actualizar su versión para iPhone incluyendo recursos que aprovechan 3D touch. Ahora, al presionar el icono de Waze en el móvil, podremos ver atajos para navegar a casa, al trabajo, buscar direcciones o enviar nuestra ubicación, ayudando así a disminuirConsulte la Fuente de este Artículo
No hay comentarios:
Publicar un comentario