RFC: 6797
Оригинал: HTTP Strict Transport Security (HSTS)
Категория: Предложенный стандарт
Дата публикации:
Авторы: , ,
Перевод: Семенов Юрий Алексеевич

2.4. Требования

2.4.1. Общие требования

Необходимо:

Минимизировать, для пользователей web-браузеров и разработчиков web-сайтов, риски, которые сопряжены с пассивными и активными сетевыми атакерами, ошибками при разработке web-сайтов и небезопасными действиями пользователя.

2.4.1.1. Базовые требования

Базовые требования вытекают из общих требований спецификации.

  1. Web-сайты должны быть способны информировать агентов пользователя о том, что доступ к ним должен осуществляться с использованием строгой политикой безопасности.

  2. Web-сайты должны уметь инструктировать UA, которые с ними контактируют, работать в безопасном режиме.

  3. Агенты пользователя должны сохранять данные о web-сайтах, которые сигнализируют об установлении строгой политики безопасности, на время, декларированное web-сайтами. Кроме того, агенты пользователя должны кэшировать самую свежую информацию о строгой политике безопасности, для того чтобы позволять web-сайтам обновлять эти данные.

  4. Агенты пользователя должны переписывать все небезопасные загрузки агентов пользователя "http" URI, чтобы использовать безопасные схемы "https" для этих web-сайтов, для которых активирована строгая политика безопасности.

  5. Администраторы Web-сайтов должны быть способны сообщать о приложениях со строгой политикой безопасности субдоменам доменов высокого уровня, для которых активирована строгая политика безопасности, и обязать агенты пользователя установить такую политику.

    Например, как example.com так и foo.example.com могут установить политику для bar.foo.example.com.

  6. UA должны запретить приложениям политики безопасности контактировать с доменами и/или доменами высокого уровня, при доменах, для которых разрешена строгая политика безопасности.

    Например, ни bar.foo.example.com, ни foo.example.com не могут задать политику для example.com, аналогично bar.foo.example.com не может задавать политику для foo.example.com. Точно также, foo.example.com не может установить политику для sibling.example.com.

  7. UA должен препятствовать пользователям "прокликивать" предупреждения безопасности, останавливая попытки соединений перед лицом возможности нарушения безопасности. Смотри также раздел 12.1 ("No User Recourse").

2007 - 2017 © Русские переводы RFC, IETF, ISOC.