アカウント名:
パスワード:
中間者攻撃を心配するなら、利用者がHTTPでアクセスするのをやめさせる必要がある。そのためには利用者のブックマークを変更してもらう必要がある。それにはe-Govサイトのように利用者に告知するほかないのでは?
Wikipediaのページ [wikipedia.org]にもあるように、HSTSは「最初の接続ではWebブラウザはHTTPS接続を強制するべきかどうかを知り得ないため、攻撃に対して脆弱」だ。そのため、HSTSはあくまで過渡期の処理だと思うんだけど。
ブックマークを変更してもらわなければセキュリティは強化されないのでこうするしかない、というのに同意。(中みてないけど)ひろみちゅのタイトルが言ってることそのままな気がするんだけどねえ。redirectのレスポンスがあまりにも誤用されたので意味を付け替えたり、HTTP関連って思い込みでサイト実装してるひとが多すぎるきがする。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家
何がだめなのか本気で分からない (スコア:1)
中間者攻撃を心配するなら、利用者がHTTPでアクセスするのをやめさせる必要がある。
そのためには利用者のブックマークを変更してもらう必要がある。
それにはe-Govサイトのように利用者に告知するほかないのでは?
Wikipediaのページ [wikipedia.org]にもあるように、HSTSは「最初の接続ではWebブラウザはHTTPS接続を強制するべきかどうかを知り得ないため、攻撃に対して脆弱」だ。
そのため、HSTSはあくまで過渡期の処理だと思うんだけど。
Re:何がだめなのか本気で分からない (スコア:0)
ブックマークを変更してもらわなければセキュリティは強化されないのでこうするしかない、というのに同意。
(中みてないけど)ひろみちゅのタイトルが言ってることそのままな気がするんだけどねえ。
redirectのレスポンスがあまりにも誤用されたので意味を付け替えたり、HTTP関連って思い込みでサイト実装してるひとが多すぎるきがする。