ないあなたが特定の問題を持っている場合、あなたが解決しようとしている、またはだけ好奇心のために求めているが、これは、より良いhttp://security.stackexchange.com
に求められる場合があります確認してくださいあなたと同じように、私はHTTP経由でこれを送信するサーバーからの脅威を見ることができません。本当に意味をなさないのですが、正直に言うとリスクがあるかどうかはわかりません。ヘッダーを正しく設定できない場合は、間違って設定すると危険な場合があるため、HSTSを実装する準備ができていない可能性があります。
HTTP応答が安全でないトランスポートを介して受信された場合、UAのMUST:
遠い大きな危険は、ブラウザが8.1が明示的に無視しなければならない状態セクションHTTPを介して受信HSTSヘッダを処理することであった場合であります は、現在のSTSヘッダーフィールドを無視します。
ここリスクは、ブラウザが誤って処理した場合、悪意のある攻撃者(または誤って設定ミスヘッダ)はHTTPのみのウェブサイトをオフライン(または混在サイトのHTTP-部分だけを)取ることができるということです。これにより、ヘッダーの期限切れまたはサイトでHTTPSが実装されるまで、そのユーザーのDoSが効果的に発生します。
さらに、ブラウザがHTTPSではなくHTTP経由でこのヘッダーを受け入れた場合、MITM攻撃者はヘッダーをmax-ageの0に設定して期限切れになる可能性があります。たとえば、長いHSTSヘッダーhttps://www.example.comを設定しましたが、attackerはhttp://example.com以上のincludeSubDomainでmax-age = 0ヘッダーを公開できました。ブラウザが誤って処理した場合、HTTPSがwwwサイトに与える保護が効果的に削除されます。
これらの理由から、クライアント(つまりウェブブラウザー)はこれを正しく実装し、HTTP経由で配信され、HTTPS経由で処理する場合、HSTSヘッダーを無視することが非常に重要です。これは、RFC州のサーバーがHTTP経由でこれを送信してはならないもう一つの理由かもしれません。ちょうどブラウザがこの間違いを実装している場合は、正直言って、MITM攻撃者が追加できるそれは上記の通りです。
他のスタック交換のヒントをありがとう!私が思うにこれほど遅いですが、将来私はそれを心に留めておきます。 – phyzome