Buone notizie: Microsoft annuncia il supporto per la sicurezza del trasporto rigoroso HTTP in Internet Explorer, che verrà aggiunto in Project Spartan in seguito

Microsoft ha annunciato oggi il supporto per Sicurezza del trasporto rigoroso HTTP (HSTS) in Internet Explorer. Questo fa già parte di Internet Explorer nell'anteprima tecnica di Windows 10 e arriverà anche in Project Spartan in un aggiornamento successivo.

La specifica HSTS definisce un meccanismo che consente ai siti Web di dichiararsi accessibili solo tramite connessioni sicure e/o agli utenti di essere in grado di indirizzare i propri agenti utente a interagire con determinati siti solo tramite connessioni sicure. Questa politica generale è denominata HTTP Strict Transport Security (HSTS). La politica viene dichiarata dai siti Web tramite il campo dell'intestazione della risposta HTTP Strict-Transport-Security e/o con altri mezzi, come ad esempio la configurazione dell'agente utente.

Questa funzione protegge dalle varianti di attacchi man-in-the-middle che possono escludere TLS dalle comunicazioni con un server, lasciando l'utente vulnerabile.

HSTS fornisce due metodi per i siti per proteggere le loro connessioni:

• Registrazione per una lista di precaricamento: i siti Web possono registrarsi per essere codificati tramite IE e altri browser per reindirizzare il traffico HTTP su HTTPS. Le comunicazioni con questi siti Web dalla connessione iniziale vengono aggiornate automaticamente per essere sicure. Come altri browser che hanno implementato questa funzione, l'elenco di precaricamento di Internet Explorer si basa su Chromium Elenco di precarico HSTS.
• Servire un'intestazione HSTS: I siti non presenti nell'elenco di precaricamento possono abilitare HSTS tramite il Strict-Transport-Security Intestazione HTTP. Dopo una connessione HTTPS iniziale dal client contenente l'intestazione HSTS, tutte le connessioni HTTP successive vengono reindirizzate dal browser per essere protette tramite HTTPS.

Per saperne di più su di esso qui.