История изменений
Исправление thegoldone, (текущая версия) :
HSTS ничего не подразумевает и не исключает.
Подразумевает, исключает и смысл туда уже заложен. Это не деталь конструктора, а конкретное решение конкретной проблемы.
Единственное, от чего защищает HSTS, это в сценарии когда:
- Пользователь посетил ресурс по HTTPS.
- Срок жизни ещё не истёк.
- Пользователь посещает этот же ресурс по HTTP.
В этом случае браузер просто заменит запрос на HTTPS.
И человек посередине не сможет провести атаку.
Очевидно что HSTS не имеет смысла:
- Для ресурсов посещаемых реже чем
max-age. - Посещаемых однократно, без переходов по ссылкам из сомнительных источников.
И тут нет никаких дополнительных смыслов, которые можно было бы вложить. Это очевидное принудительное HTTPS для всего домена (иногда и поддоменов тоже).
И со стороны сервера это 301 для 80.
Исходная версия thegoldone, :
HSTS ничего не подразумевает и не исключает.
Подразумевает, исключает и смысл туда уже заложен. Это не деталь конструктора, а конкретное решение конкретной проблемы.
Единственное, от чего защищает HSTS, это в сценарии когда:
- Пользователь посетил ресурс по HTTPS.
- Срок жизни ещё не истёк.
- Пользователь посещает этот же ресурс по HTTP.
В этом случае браузер просто заменит запрос на HTTPS.
И человек посередине не сможет провести атаку.
Очевидно что HSTS не имеет смысла:
- Для ресурсов посещаемых реже чем
max-age. - Посещаемых однократно, без переходов по ссылкам из сомнительных источников.
И тут нет никаких дополнительных смыслов, которые можно было бы вложить. Это очевидное принудительное HTTPS для всего домена (иногда и поддоменов тоже).
И со стороны сервера это 301.