14.2. Использование несовместимых агентов пользователя
Несовместимые агенты пользователя игнорируют поле заголовка Strict-Transport-Security; таким образом, к несовместимым агентам пользователя не имеют отношение угрозы, описанные в разделе 2.3.1 ("Threats Addressed").
Это означает, что web-приложение и их пользователи умеющие взаимодействовать с несовместимыми агентами пользователя, будут уязвимы перед лицом следующих угроз:
Пассивные сетевые атаки, связанные с разработкой web-сайта и ошибками эксплуатации:
Например, если web-приложение содержит какие-то небезопасные ссылки (напр., "http") на сервер web-приложений, и если не все его куки помечены как безопасные, тогда его куки будут уязвимы для пассивной атаки прослушивания с последующим перехватом параметров доступа пользователя.
Активные сетевые атаки:
Например, если атакер может позиционироваться как "человек-по-середине", попытки безопасного транспортного соединения вызовут предупреждения пользователю, но без требований политики HSTS, существующая практика позволяет пользователю "прокликать" и продолжить. Это открывает возможность для пользователя и для web-приложения подвергнуться атаке такого хакера.
Таково положение для всех web-приложений и их пользователей в отсутствии политики HSTS. Так как провайдеры web-приложений обычно не контролируют тип или версию агента пользователя и web-приложений, с которыми они взаимодействуют, в результате ясно, что создатели HSTS-компьютера должны проявлять такую же тщательность, чтобы избежать ошибок при разработке web-сайта (смотри раздел 2.3.1.3), какый бы они реализовали, в отсутствии политики HSTS.