Quindi ho appena saputo di SSLStrip ora - mi sento come se fossi così in ritardo al gioco. Quello che voglio sapere è: se il tuo sito serve solo i contenuti su HTTPS e il disco rigido non funziona su richieste HTTP, senza reindirizzamento, sei ancora vulnerabile? Un utente malintenzionato può intercettare la tua richiesta HTTPS ed eseguire la richiesta "a tuo nome", per così dire, e fornire al browser una versione HTTP, se digiti nella barra degli indirizzi del browser? (Utilizzando SSLStrip o qualche altro attacco?)
TL: DR;
Sotto user10008 dà la risposta. SSLStrip non dipende dal comportamento del server, dipende dal client. Se è possibile ottenere il client per effettuare la richiesta su HTTP, anziché HTTPS, è possibile eseguire l'attacco, anche se il server supporta solo HTTPS. HSTS impedisce al browser di eseguire la richiesta HTTP normale in primo luogo (su richieste successive).