RFC: 6797
Оригинал: HTTP Strict Transport Security (HSTS)
Категория: Предложенный стандарт
Дата публикации:
Авторы: , ,
Перевод: Семенов Юрий Алексеевич

12. Рекомендации по реализации агента пользователя

Для того чтобы обеспечить пользователей и web-сайты более эффективной защитой, а также управляемостью кэшерования политики HSTS, разработчики агентов пользователей должны предусмотреть следующие меры:

12.1. Без обращения пользователя

Неудача установления безопасного соединения при любом предупреждении или ошибке (см. раздел 8.4 ("Errors in Secure Transport Establishment")) должна быть осуществлена без возможности обращения к пользователю "no user recourse". Это означает, что пользователь не должен присутствовать в диалоге, дающим ему возможность продолжения. Скорее, это должно восприниматься подобно ошибке сервера, где пользователю не позволяется дальнейшее взаимодействие с web-приложением, кроме ожидания и повторной попытки.

По существу, "любые предупреждения или ошибки" принуждают реализацию агента пользователя объявить, что с установлением соединения что-то не вполне корректно.

Отступление от этого, то-есть, позволение пользователю возможности "прокликивания диалога предупреждения/ошибки", представляет собой рецепт атаки типа человек-по-середине (MITM). Если web-приложение анонсирует политику HSTS, тогда оно входит в режим "никакой помощи пользователю", и в соответствии со всеми ошибками сертификации или предупреждениями разрывает соединение, не оставляя шанса навредить себе неверными действиями.

2007 - 2017 © Русские переводы RFC, IETF, ISOC.