1.1, hander (?), 10:21, 24/10/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
не лишним будет обратить внимание на includeSubdomains и то что эти субдомены(если есть) должны быть готовы перейти, точней перейдут автоматом, даже если заголовок не отдается на субдоменах.
| |
1.2, cmp (ok), 19:31, 24/10/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А на виртуальном хосте:80 не проще редирект повесить на 443 порт, надо извращаться?
| |
|
2.6, PavelR (??), 08:26, 25/10/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
>А на виртуальном хосте:80 не проще редирект повесить на 443 порт, надо извращаться?
Редирект тоже вешают, это разные меры.
После включения HSTS браузер уже никогда не будет делать httP запросы к указанному домену, только httpS. Таким образом нельзя будет встать посередине, перехватить (заблокировать) редирект 80 -> 443 и дальше контролировать весь открытый трафик.
Для этого надо, чтобы браузер хотя бы раз зашел на настоящий httpS домена и получил HSTS-заголовок.
| |
|
3.7, cmp (ok), 09:36, 25/10/2015 [^] [^^] [^^^] [ответить]
| +/– |
> это разные меры.
То есть контент можно получить по http? но пытаемся средствами сервера запретить клиенту это делать?
> перехватить (заблокировать) редирект 80 -> 443
С тем же успехом можно перехватить любой заголовок, то есть если допустить, что пользователь туп как пробка и всегда входит по ссыке domain.com, не проверяя хттпэСность, то спасти его от слива инфы никак нельзя.
| |
|
4.8, PavelR (??), 17:06, 28/10/2015 [^] [^^] [^^^] [ответить]
| +/– |
>> это разные меры.
> То есть контент можно получить по http? но пытаемся средствами сервера запретить
> клиенту это делать?
Отдать /модифицированный/ контент по httP мог MtM-прокси. При этом он мог получить его вполне себе по httpS.
>> перехватить (заблокировать) редирект 80 -> 443
> С тем же успехом можно перехватить любой заголовок, то есть если допустить,
> что пользователь туп как пробка и всегда входит по ссыке domain.com,
> не проверяя хттпэСность, то спасти его от слива инфы никак нельзя.
Нельзя спасти его от слива инфы только при первом входе пользователя на сайт.
После получения заголовка HSTS и сохранения его в хранилище браузер больше не будет обращаться к серверу по httP, соответственно вмешаться в трафик будет нельзя.
| |
|
|
6.13, Аноним (-), 17:27, 13/12/2015 [^] [^^] [^^^] [ответить]
| +/– |
Ага, особенно с учетом того, что на проксе это выбивается в одно действие. Достаточно просто заголовки подменить.
| |
|
|
|
|
|
1.5, PavelR (??), 08:23, 25/10/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
>При помощи mod_headers устанавливаем для HTTPS-блока виртуального хоста
>заголовок Strict-Transport-Security (max-age - срок действия (1 год),
А в конфигах
>Header always set Strict-Transport-Security "max-age= 31536000; includeSubdomains; preload"
>add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
>setenv.add-response-header = ( "Strict-Transport-Security" => "max-age=63072000; includeSubdomains; preload"
У apache, в отличие от nginx и Lighttpd, какой-то свой год?
| |
1.14, Иван (??), 23:16, 02/04/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
max-age=63072000 - не слишком ли много на два года?
Что за бездумный копипаст
Сделайте на месяц 2592000 секунд
| |
|