Die Frage ist fast im Titel selbst. Wenn ich eine App habe und includeSubdomains für den HSTS-Header verwende, aber keine Subdomains habe, wird das als gut oder schlecht angesehen?HSTS: Mit IncludeSubdomains, wenn ich keine Subdomänen habe
Es ist gut.
Wenn Sie auf Absenden Ihrer Website zu Google's HSTS Preload list planen, müssen Sie die includeSubdomains Richtlinie haben, selbst wenn Sie keine Sub-Domains haben.
Wenn Sie jemals eine Subdomain planen, bedeutet dies, dass Sie HTTPS ab Tag 1 einrichten müssen. Ich halte dies für eine gute Sache, da es ein Plus an Sicherheit ist.
Es ist gut.
Nehmen wir an, Sie haben https://example.com und das ist alles, was Sie verwenden. HSTS stellt sicher, dass Sie nur HTTPS auf dieser Domäne verwenden können. Dies verhindert Downgrade-Angriffe.
Ohne includeSubDomain könnte ein Angreifer aufgebaut und eine gefälschte Sub-Domain verwenden, wie http://www.example.com oder http://secure.example.com oder http://anyotherlegitimatssounsingsubdomain.example.com und Effet sie http über und die Leute dort statt https://example.com gehen irgendwie. Natürlich erfordert dies Zugriff auf die DNS des Opfers zu manipulieren, aber das ist durch bestimmte Techniken möglich.
Da es sich um eine Subdomain Ihrer Hauptdomain handelt, wird es legitim aussehen (obwohl es keine https hat) und kann möglicherweise auch Cookies für die Hauptdomain ausliefern oder außer Kraft setzen.
Nur weil Sie keine Subdomain verwenden, heißt das nicht, dass Ihre Benutzer das wissen. Für eine App ist dies vielleicht weniger kritisch, da die URL in der App festgelegt wird und schwieriger zu ändern ist. In der Regel werden keine Cookies verwendet, es wird jedoch weiterhin empfohlen, includeSubDomain zu verwenden.