Seguridad de macronegocios.ec

[HIGH] Strict-Transport-Security: La ausencia de la cabecera HSTS impide que el navegador fuerce conexiones cifradas, permitiendo ataques de degradación de protocolo.

[HIGH] Cookie frontend_lang (HttpOnly): La falta de este flag permite que la cookie sea accesible mediante scripts del lado del cliente, facilitando ataques de XSS.

[HIGH] Cookie frontend_lang (Secure): Al no tener el flag Secure, esta cookie puede ser transmitida a través de conexiones HTTP no cifradas.

[HIGH] Cookie session_id (Secure): La falta de este flag permite que el identificador de sesión viaje por canales inseguros, facilitando el secuestro de la cuenta.

[MEDIUM] Cookie frontend_lang (SameSite): La omisión de este atributo deja al usuario desprotegido ante posibles ataques de falsificación de solicitud en sitios cruzados (CSRF).

[MEDIUM] Cookie session_id (SameSite): La ausencia de protección SameSite en la sesión principal incrementa el riesgo de acciones no autorizadas mediante CSRF.

[MEDIUM] Referrer-Policy: No existe una política definida, lo que puede provocar la fuga de información sensible en las cabeceras de navegación hacia sitios externos.

[MEDIUM] Permissions-Policy: La falta de esta cabecera impide restringir el acceso del navegador a funciones sensibles como la cámara, el micrófono o la geolocalización.

[LOW] Server header expuesto: El servidor revela la versión exacta de la tecnología utilizada (nginx/1.18.0 Ubuntu), facilitando la búsqueda de exploits específicos.

[LOW] Archivos robots.txt y sitemap.xml: La inexistencia de estos archivos dificulta la correcta indexación y el reconocimiento de la estructura del sitio por agentes legítimos.