HSTS(厳密-トランスポートセキュリティ)の仕様を読んだとき、私はHTTPではなくHTTPS経由でアクセスする場合、ヘッダを送信に対してsection 7.2に差し止め命令を参照してくださいに:RFC 6797は、厳密なHTTP応答よりStrict-Transport-Securityヘッダーの送信を禁止するのはなぜですか?
アンHSTSホストは、STSヘッダフィールドを含んではいけませんHTTPレスポンス が非セキュアなトランスポートを介して伝達されます。
なぜですか?これが違反された場合のリスクは何ですか?
危険性はウェブサイト自体の可用性にあります。ウェブサイトは、HTTP上で(現在または将来的に)対応することができなくHTTPS経由であれば、それは半永久的にサイトにアクセスしてからブラウザを防ぐことができます:
、サイトはが、少なくとも今それがブラウザを指していないことを保証しませんアクセスできないサイトもちろん、max-ageが3か月に設定されていて、明日のHTTPSサイトが壊れても、その効果は同じです。これは単なる漸進的な保護です。
サーバがリクエスト特性からHTTPとHTTPSのどちらでアクセスされているかを明確に伝えることができない場合は、HTTPS経由でのみアクセスできるように設定していると思われます(SSL/TLS終了などによる) nginxプロキシで)、それはは常にヘッダーを提供するのが安全でなければなりません。しかし、両方を提供したい場合、たとえばサーバーからHTTP-> HTTPSリダイレクトを提供したい場合は、プロキシが接続についてどのように伝えているのかを調べ、それに関するSTSヘッダー応答の開始を開始します。
(この説明のためにDeirdre Connollyに感謝!)
ないあなたが特定の問題を持っている場合、あなたが解決しようとしている、またはだけ好奇心のために求めているが、これは、より良いhttp://security.stackexchange.com
に求められる場合があります確認してくださいあなたと同じように、私はHTTP経由でこれを送信するサーバーからの脅威を見ることができません。本当に意味をなさないのですが、正直に言うとリスクがあるかどうかはわかりません。ヘッダーを正しく設定できない場合は、間違って設定すると危険な場合があるため、HSTSを実装する準備ができていない可能性があります。
HTTP応答が安全でないトランスポートを介して受信された場合、UAのMUST:
遠い大きな危険は、ブラウザが8.1が明示的に無視しなければならない状態セクションHTTPを介して受信HSTSヘッダを処理することであった場合であります は、現在のSTSヘッダーフィールドを無視します。
ここリスクは、ブラウザが誤って処理した場合、悪意のある攻撃者(または誤って設定ミスヘッダ)はHTTPのみのウェブサイトをオフライン(または混在サイトのHTTP-部分だけを)取ることができるということです。これにより、ヘッダーの期限切れまたはサイトでHTTPSが実装されるまで、そのユーザーのDoSが効果的に発生します。
さらに、ブラウザがHTTPSではなくHTTP経由でこのヘッダーを受け入れた場合、MITM攻撃者はヘッダーをmax-ageの0に設定して期限切れになる可能性があります。たとえば、長いHSTSヘッダーhttps://www.example.comを設定しましたが、attackerはhttp://example.com以上のincludeSubDomainでmax-age = 0ヘッダーを公開できました。ブラウザが誤って処理した場合、HTTPSがwwwサイトに与える保護が効果的に削除されます。
これらの理由から、クライアント(つまりウェブブラウザー)はこれを正しく実装し、HTTP経由で配信され、HTTPS経由で処理する場合、HSTSヘッダーを無視することが非常に重要です。これは、RFC州のサーバーがHTTP経由でこれを送信してはならないもう一つの理由かもしれません。ちょうどブラウザがこの間違いを実装している場合は、正直言って、MITM攻撃者が追加できるそれは上記の通りです。
他のスタック交換のヒントをありがとう!私が思うにこれほど遅いですが、将来私はそれを心に留めておきます。 – phyzome