Die Frage ist fast im Titel selbst. Wenn ich eine App habe und includeSubdomains
für den HSTS-Header verwende, aber keine Subdomains habe, wird das als gut oder schlecht angesehen?HSTS: Mit IncludeSubdomains, wenn ich keine Subdomänen habe
Antwort
Es ist gut.
Wenn Sie auf Absenden Ihrer Website zu Google's HSTS Preload list planen, müssen Sie die
includeSubdomains
Richtlinie haben, selbst wenn Sie keine Sub-Domains haben.Wenn Sie jemals eine Subdomain planen, bedeutet dies, dass Sie HTTPS ab Tag 1 einrichten müssen. Ich halte dies für eine gute Sache, da es ein Plus an Sicherheit ist.
Es ist gut.
Nehmen wir an, Sie haben https://example.com und das ist alles, was Sie verwenden. HSTS stellt sicher, dass Sie nur HTTPS auf dieser Domäne verwenden können. Dies verhindert Downgrade-Angriffe.
Ohne includeSubDomain könnte ein Angreifer aufgebaut und eine gefälschte Sub-Domain verwenden, wie http://www.example.com oder http://secure.example.com oder http://anyotherlegitimatssounsingsubdomain.example.com und Effet sie http über und die Leute dort statt https://example.com gehen irgendwie. Natürlich erfordert dies Zugriff auf die DNS des Opfers zu manipulieren, aber das ist durch bestimmte Techniken möglich.
Da es sich um eine Subdomain Ihrer Hauptdomain handelt, wird es legitim aussehen (obwohl es keine https hat) und kann möglicherweise auch Cookies für die Hauptdomain ausliefern oder außer Kraft setzen.
Nur weil Sie keine Subdomain verwenden, heißt das nicht, dass Ihre Benutzer das wissen. Für eine App ist dies vielleicht weniger kritisch, da die URL in der App festgelegt wird und schwieriger zu ändern ist. In der Regel werden keine Cookies verwendet, es wird jedoch weiterhin empfohlen, includeSubDomain zu verwenden.
- 1. Wie kann ich IncludeSubDomains für HSTS in Schienen deaktivieren?
- 2. Ca \ n Ich benutze die includeSubDomains-Option für den HSTS-Header
- 3. Warum Chrome HTTPS nicht erzwingt, wenn HSTS-Header vorhanden ist?
- 4. TraitCollectionDidChange: Auch wenn ich keine Änderungen habe
- 5. Wie HSTS-Header mit HTTP deaktivieren?
- 6. Node.js-Subdomänen
- 7. Nginx Subdomänen funktioniert nicht
- 8. Einrichten mehrerer Knotenserver mit Nginx ohne Subdomänen
- 9. Wenn ich HSTS für eine Domäne eingerichtet habe, die bereits eine 301-Weiterleitung implementiert, die Vorrang hat?
- 10. HSTS und SslStrip
- 11. GIT denkt, ich habe Änderungen vorgenommen, wenn ich nicht habe
- 12. ASP.NET HTTPS-Weiterleitung und HSTS-Header
- 13. Rewrite-Regel für Subdomänen
- 14. Vue.js: Vue-Router-Subdomänen
- 15. DNS-Vorabruf von Subdomänen
- 16. Wie läuft mein Programm, wenn ich keine Hauptmethode habe
- 17. Wildcard-Subdomänen-Htaccess-Regel?
- 18. Warum muss ich Speicher aufräumen, wenn ich ein IBOutlet mit "behalten" habe, aber nicht, wenn ich eins mit "zuweisen" habe?
- 19. Unterstützt iOS WebView HSTS?
- 20. Unterstützt Android WebView HSTS?
- 21. PHP-Authentifizierung mit mehreren Domänen und Subdomänen
- 22. Ich habe zwei wenn Bedingung
- 23. Ich habe keine Build-Dateien für Webpack
- 24. Was habe ich vermisst? Keine Ausgabe
- 25. Schienenrouten: Controller-Namespaces mit Einschränkungen (Subdomänen)
- 26. Wenn ich versuche, mich mit meiner App zu registrieren, habe ich keine Antwort bekommen
- 27. Warum kann ich keine richtige Antwort erhalten, wenn ich rekursiv mit Ruby gearbeitet habe?
- 28. Wie sollte ich Pakete benennen, wenn ich keine Domäne mit mir verbunden habe?
- 29. logstash Ausgabe zu elasticsearch mit document_id; Was kann ich tun, wenn ich keine document_id habe?
- 30. Unset oder Expire HSTS Richtlinie auf Apache Server