2.3.2. Неадресные угрозы
2.3.2.1. Фишинг
Атаки фишинга происходят, когда атакер просит аутентификационные параметры пользователя с помощью фальшивого сайта, размещенного в другом домене по отношению к реальному сайту, перенаправляя трафик на фальшивый сайт, послав соответствующую ссылку в почтовом сообщении. Атаки фишинга могут быть очень эффективными, так как для пользователей оказывается трудно отличить фальшивый сайт от настоящего. HSTS сама по себе не является защитой против фишинга, скорее она дополняет другие существующие средства защиты, путем подсказки браузеру защитить целостность сессии и использовать долговременные параметры аутентификации [ForceHTTPS].
2.3.2.2. Уязвимости, malware и браузеры
Так как HSTS реализуется как механизм безопасности браузера, он базируется на возможности доверять системе пользователя, чтобы защитить сессию. Вредоносный код, исполняемый в системе пользователя, может компрометировать сессию браузера, вне зависимости от того, используется ли HSTS.