Як було сказано раніше, відсутність HSTS збільшує ризик атак типу "людина посередині", дозволяючи зловмисникам потенційно перехоплювати зв'язок і викрадати дані. Це може мати серйозні наслідки як для користувачів, так і для власників веб-сайтів. Відсутні заголовки HSTS також послаблюють заходи безпеки.
Увімкнення HSTS скасує атаки на протокол SSL і викрадення файлів cookie. Це також дозволить веб-сайтам завантажуватися швидше, видаливши крок у процедурі завантаження. Як ви, напевно, знаєте, HTTPS є значним покращенням у порівнянні з HTTP, і він не вразливий до злому.
Переваги використання HSTS Використання HSTS дає кілька ключових переваг, які значно підвищують веб-безпеку: Запобігання атакам на пониження версії: HSTS не дозволяє зловмисникам знизити рівень захищених з’єднань HTTPS до менш безпечних з’єднань HTTP, що є поширеною тактикою, яка використовується в атаках типу «людина посередині».
Оскільки HSTS дозволяє веб-сайтам оголошувати, що вони доступні лише через безпечне з’єднання, вони можуть заборонити користувачам підключатися до них через будь-яке з’єднання HTTP. Це запобігає вразливості безпеки, відомої як SSL-зачистка.
Про це зазначив Джунаде Алі HSTS неефективний проти використання фальшивих доменів; використовуючи атаки на основі DNS, перехоплювач типу "людина посередині" може обслуговувати трафік зі штучного домену, якого немає в списку попереднього завантаження HSTS, це може стати можливим завдяки атакам DNS Spoofing або просто домену назви це…