El com\u00fan de los ataques de SSL para \u201c hombre en medio \u201c es usar herramientas como SSLStrip, esta herramienta en realidad es un proxy, lo que hace SSLSTRIP es conectar a una p\u00e1gina segura como Hotmail , Facebook y Google Gmail una vez realizada la conexi\u00f3n entrega por medio de un proxy sin cifrar la conexi\u00f3n sin seguridad SSL a la v\u00edctima, en el proceso le da la oportunidad al atacante de escuchar ahora sin el cifrado del SSL las contrase\u00f1as y los usuarios e incluso el tr\u00e1fico de datos entre el servidor que se considera seguro y la victima que cree que est\u00e1 en una conexi\u00f3n segura. B\u00e1sicamente convierte una conexi\u00f3n HTTPS a una HTTP y es por este motivo que el navegador de la v\u00edctima no le avisa de un posible ataque <\/p>\n
Hay un m\u00e9todo que permite mitigar y en muchos casos inutilizar al SSLStrip quit\u00e1ndole lo esp\u00eda a muchos hackers, con el HSTS o HTTP Strict Transport Security es una sencilla cabecera que se env\u00eda desde el servidor WEB hacia el cliente esta cabecera actua como una cookie, lleva una valor en segundos que le indican al navegador que a partir del momento de recibida y hasta que esos segundos transcurran no debe permitir conexiones HTTP , se fuerza siempre HTTPS. Esto tan simple pone en jaque al SSLStrip por que el navegador se niega a visitar el sitio WEB con solo HTTP y eso es lo que hace SSLStrip evitando el robo de contrase\u00f1as o impidiendo el espionaje<\/p>\n
La cantidad de segundos que yo recomiendo no debe ser mayor a 48 horas, la mayor\u00eda lo pone a un a\u00f1o o m\u00e1s, pero significa que durante ese tiempo tu certificado SSL no debe expirar ni ser revocado o nadie podr\u00e1 visitar tu sitio WEB, 48 horas en un tiempo razonable, adem\u00e1s que cada que recibe la cabecera se incrementa en 48 horas nuevamente, as\u00ed si tienes que revocar tu certificado o por alg\u00fan motivo no puedes seguir dando el servicio en HTTPS podr\u00e1n seguir usando HTTP en los pr\u00f3ximos 2 d\u00edas.<\/p>\n
Muchas p\u00e1ginas WEB no requiere obligar a las personas a consultar en HTTPS, pero la mayor\u00eda de los desarrolladores comerciales deber\u00edan implementar esto debido a que si est\u00e1n haciendo un sistema de nominas o de informaci\u00f3n con datos personales, estos datos siempre deber\u00edan ir cifrados y evitar que con herramientas que hacen trucos mediocres como el SSLStrip se puede vulnerar el sitio.<\/p>\n
Los buenos navegadores entienden y soportan el HSTS, adivinen quien no lo soporta en su versi\u00f3n actual. El internet explorer 11. Si estas manejando informaci\u00f3n importante, nunca uses Explorer, Firefox y Chrome son excelentes para manejar HSTS y Chrome incluso trae una lista de sitios precargados en los que figura el Facebook, Twitter, Hotmail , Google y otros<\/p>\n
HSTS no es m\u00e1s que una simple cabecera, as\u00ed que puede ser entregada de muchas formas, mand\u00e1ndola con la funci\u00f3n headers de php del lenguaje que est\u00e9s usando o simplemente enviarla obligatoriamente en cada conexi\u00f3n desde el mismo servidor.<\/p>\n
El Servidor de la cueva del dragon la env\u00eda desde el servicio web de apache, es tan simple como agregar la siguiente l\u00ednea en la configuraci\u00f3n del virtualhost<\/p>\n
Si solo tienes un hosting y no tienes permiso de modificar la configuraci\u00f3n del servicio WEB, con php seria as\u00ed:<\/p>\n La cabecera solo debe ser enviada desde la conexi\u00f3n HTTPS, si la env\u00edas desde la HTTP y no tienes HTTPS har\u00edas inaccesible tu sitio ya que el navegador se reusaria a conectar por HTTP durante la vigencia en segundos que hayas asignado. Asi que debes tener cuidado de nunca enviar esta cabecera en HTTP<\/p>\n El siguiente video muestra como los navegadores se re\u00fasan a conectar a HTTP.<\/p>\nServerName lastdragon.net
\nHeader add Strict-Transport-Security \"max-age=86400\"<\/code><\/p>\nheader(\"strict-transport-security: max-age=86400\");<\/code><\/p>\n