[HSTS] mal configuré = piraté !

[PengouinPdt]

Aujourd'hui, c'est la lecture de cet article bien nommé "Death by Copy/Paste" !

Mais alors quel est la relation avec cette technologie qu'est HSTS ?
L'auteur démontre qu'à trop lire des articles pour comprendre une techno particulière et à faire des copier-coller pour mettre en place son propre service ... on se retrouve avec une faille qui permet à des personnes mal-intentionnées d'arriver à leur fin.
Son propos est non seulement d'attirer l'attention sur les bonnes pratiques, mais aussi de corriger sciemment l'usage de HSTS pour HTTPS avec les bonnes informations !

https://scotthelme.co.uk/death-by-copy-paste/

Si vous l'avez implémenté, vérifiez donc que vous l'ayez bien fait ...
Si vous ne l'avez pas encore implémenté, faites-le, mais faites-le bien !

De l'importance d'utiliser les déclarations "includeSubDomains" et "preload" ... de comprendre les raisons ... et de bien les écrire ! ;)

[PascalHambourg]

Où est-il question de piratage dans cet article ? Au pire, je ne vois qu'un possible déni de service.

[PengouinPdt]

Des autres articles qu'il cite, il est intéressant à noter que correctement configuré, cela évite :

- l'exploitation de redirection non sécurisée, l'exploitation d'informations telles que cookies si gèrer par sous-domaines.
- attaque MitM

Par exemple ...
Bref, je te laisse lire l'ensemble des articles duquel il s'inspire !