Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Introducción a HSTS
Search
Boris Quiroz
April 26, 2014
Technology
0
50
Introducción a HSTS
Boris Quiroz
April 26, 2014
Tweet
Share
More Decks by Boris Quiroz
See All by Boris Quiroz
Secrets management with Vault
boris
0
50
Docker Images Best Practices
boris
0
49
Software Freedom Day 2015
boris
0
39
Code Driven Infrastructure
boris
0
58
hola mundo
boris
0
53
DevOps Tools: Chef + Vagrant
boris
0
220
Kitchen.CI
boris
0
110
Hands-on Lab
boris
0
68
Tech, Method & Philosophy for the cloud
boris
0
47
Other Decks in Technology
See All in Technology
推しは推せるときに推せ! プロダクトにフィードバックしていこう
nakasho
0
460
AWSに詳しくない人でも始められるコスト最適化ガイド
yuhta28
2
320
GrafanaMeetup_AmazonManagedGrafanaのアクセス制御機能とマルチテナント環境下でのアクセス制御について
daitak
0
390
チームでロジカルシンキングに改めて向き合っている話 〜学習環境と実践⽅法〜
sansantech
PRO
3
3.2k
コードファーストの考え方。 Amplify Gen2から学ぶAWS次世代のWeb開発体験
yoshiitaka
1
310
【NW X Security JAWS#3】L3-4:AWS環境のIPv6移行に向けて知っておきたいこと
shotashiratori
1
620
[新卒向け研修資料] テスト文字列に「うんこ」と入れるな(2024年版)
infiniteloop_inc
4
18k
On Your Data を超えていく!
hirotomotaguchi
2
750
開発パフォーマンスを最大化するための開発体制
ham0215
7
1.1k
エンジニア候補者向け資料2024.04.24.pdf
macloud
0
3.3k
障害対応をちょっとずつよくしていくための 演習の作りかた
heleeen
1
1.6k
Gradle Build Scanを使ってビルドのことを知ろう potatotips #87
tomorrowkey
2
150
Featured
See All Featured
Scaling GitHub
holman
457
140k
Side Projects
sachag
451
41k
Docker and Python
trallard
35
2.7k
Practical Orchestrator
shlominoach
183
9.7k
Being A Developer After 40
akosma
66
580k
A Tale of Four Properties
chriscoyier
152
22k
Visualization
eitanlees
137
14k
A Philosophy of Restraint
colly
197
16k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
188
16k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
13
1.5k
Principles of Awesome APIs and How to Build Them.
keavy
121
16k
Teambox: Starting and Learning
jrom
128
8.4k
Transcript
HSTS WTF?
None
HTTP Strict Transport Security
Asegurar que la comunicación no encriptada no es permitida en
nuestro sitio para mitigar ataques como por ejemplo SSL-stripping.
None
¡BIEN!
None
¡MAL!
1. El usuario va a preyproject.com 2. El browser agregará
el http:// y hará el request a http://preyproject.com 3. El server responderá con un 301 a https://preyproject.com 4. El browser hace el request a https://preyproject.com HSTS disabled
HSTS enabled 1. El usuario va a preyproject.com 2. HSTS
convertirá automáticamente el link de HTTP a HTTPS
Compatibilidad Chrome, Firefox, Opera desde hace 3 versiones. Safari 7.0
IE 12+
El header Strict-Transport-Security: max-age:31536000; includeSubdomains
None
Nginx add_header Strict-Transport-Security "max-age=31536000; includeSubDomains"; Rails config.force_ssl = true La
config
PRELOAD LISTS
¿Preguntas? Boris Quiroz SRE Preyproject.com