Microsoft ha anunciado que, como parte del objetivo permanente de la empresa de conseguir una red totalmente segura e impenetrable que «simplemente funcione», Internet Explorer y Spartan soportarán de forma nativa la Seguridad de Transporte HTTP Estricta (HSTS). Estas fueron los comentarios de Microsoft al respecto:
Como parte de nuestro compromiso continuo de ayudar a construir webs seguras e impenetrables que «simplemente funcione» estamos muy contentos de anunciar el soporte de HSTS en Internet Explorer. Este cambio será visible en Internet Explorer en Windows 10 Technical Preview, y llegará a Spartan en una actualización posterior.
¿Qué es HSTS y qué hace? Es una política de seguridad web, según la cual el servidor declara a los navegadores que solo pueden comunicarse con él mediante conexiones HTTP seguras. La vulnerabilidad de seguridad más importante que HSTS evita es la extracción de SSL en los ataques man-in-the-middle, en el que los atacantes pueden leer, insertar y modificar las comunicaciones entre cliente y servidor sin que ninguno de ellos sepa que ha sido atacado.
Por ejemplo, un usuario puede conectarse inicialmente a una versión no encriptada de un sitio web antes de ser redirigido a una conexión segura. Un atacante que explotase esa conexión no cifrada podría redirigir al usuario a un sitio malicioso. HSTS mitiga este punto de ataque al permitir que los sitios especifiquen al navegador que siempre deben utilizar una conexión segura con el servidor.
Actualmente, cuando una web envía la política HSTS al navegador, automáticamente activa los vínculos no seguros que hacen referencia a enlaces seguros, y, posteriormente, si la conexión no se puede asegurar, muestra un mensaje de error y no permite al usuario continuar navegando por esa web.
Ahora mismo, esta característica está disponible en Internet Explorer de Windows 10 Technical Preview gracias a las pasadas actualizaciones de enero. Microsoft planea llevarla a Spartan en un futuro.
