利用者:MineStudio/sandbox

ここはMineStudioさんの利用者サンドボックスです。編集を試したり下書きを置いておいたりするための場所であり、百科事典の記事ではありません。ただし、公開の場ですので、許諾されていない文章の転載はご遠慮ください。

登録利用者は自分用の利用者サンドボックスを作成できます（サンドボックスを作成する、解説）。

HTTP Strict Transport Security

概要

WebサーバーがWebブラウザに対して、セキュアなHTTPSのみでサービスを提供したい場合、ユーザーの利便性といった観点から、HTTPで接続した際にHTTPSのURIにリダイレクトする場合がある。その際に、Webサーバーからのレスポンスにリダイレクトする指示を入れることになるが、HTTPは改竄検知機能を持たないため、攻撃者がこれを悪意のあるサイトにリダイレクトする指示に書き換えたとしても、Webブラウザはそれを知ることができず、中間者攻撃を許してしまう。

HSTSではユーザーがWebブラウザにスキームがhttpであるURIを入力するなどしてHTTPで接続しようとした時に、予めWebサーバーがHSTSを有効にするよう指示してきたドメインの場合、Webブラウザが強制的にHTTPSでの接続に置き換えてアクセスすることで、この問題を解決する。

セキュリティ上の考察

HSTSはHTTPS接続が安全であることを前提としているため、TLSの安全性が脅かされる場合には意味を成さない場合がある。^[1]

最初の接続ではWebブラウザはHTTPS接続を強制するべきかどうかを知り得ないため、攻撃に対して脆弱である。^[2]

脚注

[脚注の使い方]

^ Hodges, Jeff; Jackson, Collin; Barth, Adam (Nov 2012). “Section 14.3. Ramifications of HSTS Policy Establishment Only over Error-Free Secure Transport”. RFC 6797. IETF. 29 Jun 2013閲覧。
^ Hodges, Jeff; Jackson, Collin; Barth, Adam (Nov 2012). “Section 14.6. Bootstrap MITM Vulnerability”. RFC 6797. IETF. 29 Jun 2013閲覧。

[hsts-only-over-error-free-secure-transport-1] Hodges, Jeff; Jackson, Collin; Barth, Adam (Nov 2012). “Section 14.3. Ramifications of HSTS Policy Establishment Only over Error-Free Secure Transport”. RFC 6797. IETF. 29 Jun 2013閲覧。

[hsts-bootstrap-mitm-2] Hodges, Jeff; Jackson, Collin; Barth, Adam (Nov 2012). “Section 14.6. Bootstrap MITM Vulnerability”. RFC 6797. IETF. 29 Jun 2013閲覧。

[1]

[2]