RFC: 6797
Оригинал: HTTP Strict Transport Security (HSTS)
Категория: Предложенный стандарт
Дата публикации:
Авторы: , ,
Перевод: Семенов Юрий Алексеевич

14.2. Использование несовместимых агентов пользователя

Несовместимые агенты пользователя игнорируют поле заголовка Strict-Transport-Security; таким образом, к несовместимым агентам пользователя не имеют отношение угрозы, описанные в разделе 2.3.1 ("Threats Addressed").

Это означает, что web-приложение и их пользователи умеющие взаимодействовать с несовместимыми агентами пользователя, будут уязвимы перед лицом следующих угроз:

  • Пассивные сетевые атаки, связанные с разработкой web-сайта и ошибками эксплуатации:

  • Например, если web-приложение содержит какие-то небезопасные ссылки (напр., "http") на сервер web-приложений, и если не все его куки помечены как безопасные, тогда его куки будут уязвимы для пассивной атаки прослушивания с последующим перехватом параметров доступа пользователя.

  • Активные сетевые атаки:

  • Например, если атакер может позиционироваться как "человек-по-середине", попытки безопасного транспортного соединения вызовут предупреждения пользователю, но без требований политики HSTS, существующая практика позволяет пользователю "прокликать" и продолжить. Это открывает возможность для пользователя и для web-приложения подвергнуться атаке такого хакера.

Таково положение для всех web-приложений и их пользователей в отсутствии политики HSTS. Так как провайдеры web-приложений обычно не контролируют тип или версию агента пользователя и web-приложений, с которыми они взаимодействуют, в результате ясно, что создатели HSTS-компьютера должны проявлять такую же тщательность, чтобы избежать ошибок при разработке web-сайта (смотри раздел 2.3.1.3), какый бы они реализовали, в отсутствии политики HSTS.

2007 - 2017 © Русские переводы RFC, IETF, ISOC.