تصمیمات اتخاذ شده در RFC 6796 ، 8.1 درک بسیار آسان تر است ، اگر تصور کنید چه اتفاقی می افتد ، اگر یک سرصفحه HSTS از پاسخ HTTP همانند HTTPS استفاده شود: این سایت فقط HTTP است و به طور تصادفی یک هدر HSTS اضافه می کند. اکنون به مرورگر دستور داده می شود…
آیا HSTS از MITM با استفاده از گواهی معتبر جلوگیری می کند؟
HSTS حاوی هیچ نوع اثر انگشت نیست (به جای آن HPKP خواهد بود). این فقط می گوید که سایت باید با HTTPS بارگیری شود و باید به گواهینامه به طور مستقیم اعتماد کرد ، یعنی نباید از پس هشدارهای کاربر استفاده کرد. اگر مهاجمی بتواند از گواهی معتبری استفاده کند که توسط یک مرکز اعتماد…
TLS – چگونه می توان با وجود HTTP ساده ضمن جلوگیری از استفاده تصادفی ، اجازه داد؟
من وب سایتی دارم که باید از طریق HTTP و HTTPS در دسترس باشد ، اما من فقط می خواهم مردم اگر واقعاً نیاز دارند از HTTP استفاده کنند. ایده من این است که تغییر مسیر را به HTTPS ، همراه با HSTS ، در mydomain.com ، و ارائه HTTP ساده در http.mydomain.com . من…