b4t8 - HTTP, SSL Flashcards
fQué tipo de protocolos de enrutamiento se da entre sistemas autónomos de la capa Tier1 de internet? y entre el resto?
Protocolos de interior (IGP) entre SA de tier1
Protocolos de exterior (EGP) entre el resto
En la jerarquía de sistemas autónomos de internet, qué capas hay y qué tipo de SA hay en cada una?
Tier1 -> SA llamados backbone, tienen redes con alcance internacional (AT&T, Telxius (filial de Telefónica))
Tier2 -> SA regionales (Brithis Telephone)
Tier3 -> ISPs locales
Qué tipo de protocolos de enrutamiento se da entre sistemas autónomos de la capa Tier1 con capa Tier2 que no estén en la misma red?
Qué es el número de SA?
Un número de sistema autónomo que asigna la IANA a todo ISP (de cualquier tier)
Qué tipo de acuerdos se dan entre SA de tier1?
Acuerdos de peering, que no tienen coste entre ellos.
Qué son los acuerdos de tránsito?
Son acuerdos económicos que se dan entre SA de distintas tier, que permiten a los de la tier inferior acceder a SA fuera de la red del SA de Tier1 al que pertenecen jerárquicamente.
Qué es un punto IXP?
3 ejemplos
Internet Exchange Point. Son los llamados puntos de acceso neutro. Es una infraestructura que usan los ISPs para compartir tráfico entre sus redes sin tener que recurrir siempre a su SA del tier superior, y abaratar costes, ya que es gratis, son acuerdos de tipo peering . Lo usan tanto SA de tier2 como tier3
DE-CIX (Francfurt)
ESPANIX
CATNIX
Qué es una CDN?
2 ejemplos
Una red de entrega de contenidos. Son proveedores que ofrecen una red de servidores distribuidos por todo el mundo, donde se despliega una réplica de tu web, aplicación, etc… para entregar contenido de la forma más rápida posible.
Cloudfare, Akamai
Nombra 3 productos servidores http
Apache HTTP Server
Nginx
Internet Information Server (IIS)
Qué 3 características tiene el protocolo HTTP?
- Sin estado
- Orientado a caracter (viajan caracteres que hay que interpretar)
- Modelo request-response
Cuáles son los métodos seguros de HTTP? Qué significa que sean seguros?
Son los verbos que no modifican el recurso
GET
HEAD
OPTIONS
TRACE
Qué significan los métodos HTTP siguientes?
* GET
* HEAD
* PUT
* POST
* PATCH
* TRACE
* OPTION
* DELETE
* CONNECT
- GET
- HEAD -> Obtener solo headers
- PUT -> Crea o reemplaza el recurso
- POST -> Envía datos a la URL
- PATCH -> Modificaciones parciales
- TRACE -> echo
- OPTIONS ->métodos que soporta la URL. Se responde con la cabecera Allow, donde lista los métodos válidos
- DELETE
- CONNECT -> tunel http a través de un proxy
Cuáles son los métodos idempotentes de HTTP? Qué significa que sean idempotentes?
Son los que tienen el mismo resultado cada vez que se ejecutan
GET
HEAD
PUT -> Porque reemplaza
TRACE
OPTIONS
DELETE -> Porque el resultado siempre es el mismo, el recurso está borrado
Cuáles son los métodos NO idempotentes?
POST
PATCH
CONNECT
La URL es un tipo de URI o viceversa?
Las URIs pueden ser
URL -> para localizar el recurso (http://…./..)
URN -> para identificar el recurso (urn:isbn:444-abc-123)
Qué es WEBDAV en HTTP?
Extensión de verbos HTTP para manejar el espacio de URLs como si fuese un file system remoto. Plugin que se instala en el servidor
- MKCOL
- COPY
- MOVE
- SEARCH
- LOCK …
Qué hacen estas cabeceras más importantes de request de HTTP, y qué valores típicos se les pasa?
-Authorithaztion
- Cache-control
- Accept
- Accept-Charset:
- Accept-Language
- Accept-Encoding
- Content-Type
- Content-Lenght
- Cookie
- Date
- Host
- Range
- Connection
- User-Agent
- Access-Control-Request_Method
- Authorithaztion: BASIC asjeIXke… / Bearer sdixnIDN …
- Cache-control: no-cache
- Accept: text/html -> tipos mime
- Accept-Charset: utf-8 -> conjunto de caracteres
- Accept-Language: es-ES -> idioma
- Accept-Encoding: gzip, deflate -> compresión
- Content-Type: mimetipe del body
- Content-Lenght: longitud del body
- Cookie: envía todas las del dominio
- Date
- Host: www.madrid.es -> dominio del host
- Range: bytes=500-599
- Connection: keep-alive
- User-Agent: identifica al browser
- Access-Control-Request_Method:GET -> política de seguridad CORS, para preguntarle al otro dominio si se le puede hacer una llamada con ese método (GET, POST, …) desde el dominio origen
Qué hacen estas cabeceras más importantes de response de HTTP, y qué valores típicos se les pasa?
- Set-Cookie: < cookie-name>asdfa< /cookie-name>
- Content-disposition
- Content-Encoding
- Content-Lenght
- Content-Range
- Date
- Location
- Las-Modified
- Transfer-Encoding
- Www-Authenticate
- Server:
-
Access-Control-Allow-Origin:
- Strict-Transport-Security - Content-Security-Policy
- Set-Cookie: < cookie-name>asdfa< /cookie-name> -> cabecera http con la que el servidor establece una cookie al cliente
- Content-disposition
- Content-Encodin: ggzip, .. -> encoding en el que va comprimido el contenido
- Content-Lenght
- Content-Range
- Date
- Location: url -> redirecciones http de cliente, por ejemplo para redireccionar a CAS para login
- Last-Modified
- Transfer-Encoding
- Www-Authenticate
- Server:
- Access-Control-Allow-Origin:
- Strict-Transport-Security
En que consiste el mecanismos de seguridad que tiene HTTP 1.1 de autorización?
Cabecera Authorization: Flujo ->
- cliente envia http request
- Servidor responde 401: Unauthorized
- Cliente muestra popup de usuario y contraseña
- Cliente envía http request, pero con cabecera Authorization: BASIC (usuario:password en Base64)
- Servidor responde con 200 OK o 403 Forbiden
Qué es un archivo de tipo .woff?
Un archivo WOFF es un archivo de fuentes web creado en el formato WOFF (Web Open Font Format), un formato abierto utilizado para entregar fuentes de páginas web
Formato de fuente que incluye de forma comprimida y con metadatos(xml) fuentes OpenType o TrueType
En qué consiste la política de seguridad CORS de HTTP 1.1?
Sirve para protegerse de llamadas a otros dominios cuando el navegador ha hecho una primera conexión a un dominio al que nos referimos como origin
- El navegador carga la página del origen, la cual pide un recurso de otro dominio.
- El navegador hace request OPTIONS al otro dominio, pero pasando en la cabecera de la request, en el campo Origin:el dominio del origen
- El otro dominio responde con la cabecera Access-Control-Allow-Origin: dominio origen (muchas veces tendrán un “*”, que serían todos)
- El navegador, si recibe esa cabecera con el dominio origen, carga el recurso, si no no.
De esta forma es imprescindible que el otro dominio tiene que tener configurado en el servidor el dominio de origen
Para qué sirve la técnica HSTS de HTTP?
Sirve para forzar al cliente si te accede por HTTP para cambiar a HTTPs
Se usa la cabecera Strict-Transport-Security
Para qué sirve la técnica CSP de HTTP?
Sirve para restringir desde qué orígenes se puede descargar el navegador ciertos recursos y así ayuda a prevenir y mitigar algunos tipos de ataque, incluyendo Cross Site Scripting ( XSS (en-US) ) y ataques de inyección de datos.
Se usa la cabecera Content-Security-Policy del servidor, donde establece por ejemplo script-src, img-src … = ‘self’ (para que solo se pueda descargar desde el mismo servidor de origen), ‘otro origen’ (para que solo se pueda descargar ese recurso desde ese otro origen que se haya establecido)
Para qué se usan los grupos de códigos HTTP de respuesta?
100
200
201
202
300
301
302
304
400
401
403
404
405
413
500
502
503
100 -> Informativos
200 -> OK
201 -> Created (se ha creado un nuevo recurso)
202 -> Accepted (se ha recibido pero no procesado, como un batch)
300 -> Redirecciones
301 -> se ha movido permanentemente
302 -> se ha movido temporalmente
304 -> no se ha modificado desde la última request
400 -> Bad Request - Problemas con la solicitud del cliente
401 -> No autorizado
403 -> Prohibido
404 -> Not found
405 -> Método no permitido
413 -> Request muy grande (body muy grande)
500 -> Interal error (genérico)
502 -> Bad gateway
503 -> Servicio no disponible