趣能一姐
2
CISAW安全運維(專業級)
高級信息系統項目管理師
趣能一姐2
CISAW安全運維(專業級)
高級信息系統項目管理師
簡單來說這個不能絕對的說是安全的因為不幸的是,您首次訪問該網站時,不受HSTS保護。如果網站將HSTS標頭添加到HTTP連接,則該標頭將被忽略。這是因為攻擊者可以在中間人攻擊期間刪除或添加標頭。除非通過HTTPS傳遞,否則HSTS標頭不能被信任。
您還應該知道,max-age每次瀏覽器讀取標題時,HSTS都會刷新,最大值為兩年。這意味著只要您兩次訪問之間的間隔不超過兩年,該保護就是永久性的。如果您兩年未訪問某個網站,則將其視為新網站。同時,如果為HSTS標頭提供max-age0,則瀏覽器將在下次嘗試連接時將該站點視為新站點(這對于測試很有用)。
您可以使用稱為HSTS預加載列表的另一種保護方法。Chromium項目維護使用HSTS的網站列表,并且該列表隨瀏覽器一起分發。如果將網站添加到預加載列表,瀏覽器將首先檢查內部列表,因此,即使在首次連接嘗試期間,也永遠不會通過HTTP訪問您的網站。此方法不是HSTS標準的一部分,但所有主要瀏覽器(Chrome,Firefox,Safari,Opera,IE11和Edge)都使用此方法。
當前唯一可用于繞過HSTS的方法是基于NTP的攻擊。如果客戶端計算機容易受到NTP攻擊,則可以欺騙其過期HSTS策略并使用HTTP訪問該站點一次。
推薦文章
