14.4. Необходимость includeSubDomains
Без директивы includeSubDomains web-приложение не сможет адекватно защитить так называемые "доменные куки" (даже если эти куки имеют флаг "Secure" и, таким образом, пересылаются только по безопасным каналам). Это куки, которые должны быть присланы агентом пользователя всем субдоменам web-приложения.
Например, предположим, что example.com представляет собой DNS-имя верхнего уровня для web-приложения. Далее, предположим, что это куки установлено для всего домена example.com, то-есть, это "доменное куки", и оно имеет флаг Secure=1. Предположим example.com является известным HSTS-компьютером для этого агента пользователя, но директива includeSubDomains не установлена.
Теперь, если атакер вынуждает агента пользователя направить запрос субдоменного имени, которое вряд ли имеется в web-приложении, например, "http://uxdhbpahpdsf.example.com/", но которое атакер ухитрился зарегистрировать в DNS и которое указывает на HTTP-сервер, управляемый атакером, то:
Агент пользователя вряд ли уже имеет установленную политику HSTS для "uxdhbpahpdsf.example.com".
HTTP-запрос, посланный uxdhbpahpdsf.example.com, будет включать куки домена, помеченное как безопасное.
Если "uxdhbpahpdsf.example.com" возвращает сертификат во время установления TLS, а пользователь "прокликивает" любое предупреждение, которое может присутствовать (это возможно, но не обязательно, может быть получен необходимый сертификат для такого доменного имени такой, что предупреждение может появиться, а может и нет), тогда атакер может получить доменное куки с флагом Secure, которое якобы защищено.
Без директивы "includeSubDomains", HSTS не может защитить доменное куки, помеченное как безопасное.