RFC: 6797
Оригинал: HTTP Strict Transport Security (HSTS)
Категория: Предложенный стандарт
Дата публикации:
Авторы: , ,
Перевод: Семенов Юрий Алексеевич

RFC 6797, Страница 31 из 42

12.2. Политика HSTS, декларированная пользователем

Объявленная пользователем политика HSTS является возможностью для пользователей декларировать данное доменное имя, как имя HSTS-компьютера, таким образом, объявляя его как известный HSTS-компьютер до каких-либо с ним взаимодействий. Это поможет защититься от угрозы типа MITM, как это рассказано в разделе 14.6 ("Bootstrap MITM Vulnerability").

12.3. Предварительно загруженный список HSTS

Предварительно загруженный список HSTS является возможностью с помощью администраторов web-сайта предварительно сконфигурировать агента пользователя с политикой HSTS. Это поможет защититься от уязвимости загрузки в случае MITM (раздел 14.6).

Замечание: Такая возможность дополнит "политику HSTS, декларированную пользователем" (раздел 12.2).

12.4. Запрещение загрузок со смешенным контекстом безопасности

Загрузки "со смешенным контекстом безопасности" происходят, когда ресурс web-приложения, доставлен агентом пользователя через безопасный канал, а позднее один или более ресурсов доставлено через небезопасный канал (смотри раздел 5.3 ("Mixed Content") в [W3C.REC-wsc-ui-20100812]), но не следует смешивать с термином "смешанный контент", который используется в контексте языков разметки, таких как XML и HTML.

Замечание: Для того чтобы обеспечить поведенческую однородность при реализации агента пользователя, нотация смешанного контекста безопасности потребует дальнейшей стандартизации.

12.5. Удаление политики HSTS

Удаление политики HSTS представляет собой возможность удаления из кэша агента пользователя политики HSTS.

Замечание: добавление такой возможности следует делать очень осторожно, как с точки зрения пользовательского интерфейса, так и безопасности. Удаление записи в кэше для известного HSTS-компьютера должно осуществляться обдумано — это не должно быть чем-то, что пользователь делает между прочем, напр., простым "прокликиванием". Реализации должны быть защищены и не позволять атакеру инжектировать код, напр., ECMAscript, в агент пользователя, который удаляет записи из кэша агента пользователя известного HSTS-компьютера.

Страница 31 из 42

2007 - 2022 © Русские переводы RFC, IETF, ISOC.