RFC: 6797
Оригинал: HTTP Strict Transport Security (HSTS)
Категория: Предложенный стандарт
Дата публикации:
Авторы: , ,
Перевод: Семенов Юрий Алексеевич

14.6. Уязвимость Bootstrap MITM (человек посередине)

Уязвимость начальной загрузки MITM (man-in-the-middle) является уязвимостью, с которой пользователи и HSTS-компьютеры сталкиваются в ситуации, где пользователь входит вручную или следует связи с неизвестным HSTS-компьютером, используя "http" URI, а не "https" URI. Так как агент пользователя использует небезопасный канал при начальной попытке связаться с определенным сервером, такое начальное взаимодействие является уязвимым для разнообразных атак (смотри раздел 5.3 [ForceHTTPS]).

Замечание: Существуют различные возможности, которые агент пользователя может использовать, для того чтобы ослабить эту уязвимость. Смотри раздел 12 ("User Agent Implementation Advice").

14.7. Атаки против сетевого времени

Активные сетевые атаки могут нарушать сетевые протоколы времени (такие как NTP (Network Time Protocol) [RFC-5905]) — делая HSTS менее эффективным для клиентов, которые доверяют NTP. Заметим, что современные ОС используют NTP по-умолчанию. Смотри также раздел 2.10 [RFC-4732].

2007 - 2017 © Русские переводы RFC, IETF, ISOC.