Aprobado por la IETF a finales de 2012 y diseñado para garantizar las conexiones seguras mediante HTTPS, el protocolo HSTS o Http Strict Transport Security es un mecanismo soportado por los principales servidores web –Apache, NGNIX- y la mayoría de navegadores (incluso Internet Explorer desde febrero), que reduce las posibilidades de que un atacante pueda interceptar nuestras comunicaciones y recopilar cookies y datos similares intercambiados durante la sesión.
El estándar permite que el servidor y el navegador web o “User Agent”, interactúen de manera más fiable, empleando protocolos de transporte como TSL/SSL. Así, es capaz de acabar con variados ataques de red y también con algunos errores cometidos por los desarrolladores de los distintos sites (por ejemplo, el uso de conexiones no seguras para descargar recursos de la web). Pero ¿cómo funciona exactamente? ¿En qué consiste el seguimiento HSTS?
Cómo funciona HSTS
De esta manera y al margen de determinar cómo deben actuar el broswer y el servidor, HSTS incorpora un encabezado de estricta seguridad de transporte (Strict-Transport-Security), que informa a este primero de que sus conexiones tienen que utilizar HTTPS.
A partir de ese momento, el explorador sabrá que todas las peticiones a este dominio y subdominio, deben seguir este protocolo. Las cabeceras HSTS, asimismo, quedarán almacenadas en el navegador (en forma de lista), algo que se aplicará durante un tiempo determinado. ¿El resultado? Que cualquier fallo o advertencia de seguridad abortará la conexión (entre otros).
Seguimiento HSTS
Sin embargo, y paradójicamente –ya que su objetivo es el de mejorar la seguridad, como apuntábamos-, el protocolo también hace posible el seguimiento por parte de una web. Es decir, ese flag que el servidor envía a nuestro navegador y que este almacena, es un valor binario que se puede manipular para realizar un control de la actividad del internauta.
Una vulnerabilidad que fue descubierta por Sam Greenhalgh, un consultor de tecnología y software que encontró la manera de convertir esta característica –que te asigna un identificador único- en un potencial peligro para nuestra privacidad. Su hallazgo, de hecho, es conocido como HSTS Súper Cookies, un mecanismo de seguimiento análogo al de las cookies convencionales que puede incluso eludir el modo incógnito.
Para protegernos podemos optar por varias soluciones. En Chrome, por ejemplo, nos bastará con borrar las cookies antes de entrar en esta forma de navegación, y en Safari solo tendremos que eliminar la caché HSTS, deshaciéndonos del correspondiente archivo (con el navegador cerrado) ~ / Library / Cookies / HSTS.plist.
En Firefox, por otra parte, resulta recomendable limpiar las preferencias del site cada vez que acabemos, una acción con la que nos desharemos de toda la información HSTS guardada en el archivo SiteSecurityServiceState.txt. También puedes optar por programas como CCleaner, que realizan una limpieza automática de estas súper galletas, o ejecutar este comando local: echo ''> /SiteSecurityServiceState.txt.
Vía | Instituto Nacional de Ciberseguridad y Ghacks
Imagen | Pixabay
En Genbeta | HSTS (HTTP Strict Transport Security protocol), camino de convertirse en estándar
Ver 3 comentarios