Так ли полезен HSTS, как его малюют?
HTTP Strict Transport Security (HSTS, хотя согласно RFC – просто STS) – заголовок столь же «раскрученный», сколь и переоцененный. Этот заголовок говорит агенту пользователя, что к отправившему его сайту следует обращаться только на «Вы» и шепотом по защищенному HTTP – HTTPS. Говорит уже после того, как к сайту обратились, причем именно по HTTPS.
Если же агент зашел на сайт по HTTP, то цитирую RFC: UA must ignore any present STS header field(s). То есть, если агент получил ответ от сайта по HTTP, он должен проигнорировать заголовок HSTS и продолжать общаться по незащищенному протоколу (если его принудительно не переключат на защищенный, но тогда какой смысл посылать заголовок?)
Читать дальше →
Если же агент зашел на сайт по HTTP, то цитирую RFC: UA must ignore any present STS header field(s). То есть, если агент получил ответ от сайта по HTTP, он должен проигнорировать заголовок HSTS и продолжать общаться по незащищенному протоколу (если его принудительно не переключат на защищенный, но тогда какой смысл посылать заголовок?)
Читать дальше →
Источник: Хабрахабр
Похожие новости
- Мультирегиональный поиск. Техническая сторона продвижения федеральных сетей клиник
- 10 из 10: в firewall PAN-OS от Palo Alto Networks найдена критическая 0-day-уязвимость. Что происходит?
- Обзор инструмента DefectDojo: почему его выбирают?
- USB Rubber Ducky своими руками. По-настоящему
- Как распознать мошенническое письмо. Памятка безопаснику для обучения пользователей основам ИБ
- [Перевод] Настройка сервиса аутентификации OpenAM и шлюза авторизации OpenIG для защиты приложений
- Интранет: как повысить эффективность целой компании с помощью одного инструмента
- Жажда скорости. Сравниваем работу Hashcat на ВМ, ПК и ноутбуках с разными CPU и GPU
- Brand Analytics запустила BrandGPT — ИИ-ассистента аналитика соцмедиа и СМИ
- Digital Rosatom: Росатом выступил инициатором создания комплексного цифрового решения для строительства сложных индустриальных объектов