HSTS è attualmente disponibile solo su Edge e IE11. Quale sarà la sua implicazione su versioni di browser inferiori (IE9 e IE10)? Come si comporta HSTS? Ci sarà qualche impatto sul sito?
HSTS è attualmente disponibile solo su Edge e IE11. Quale sarà la sua implicazione su versioni di browser inferiori (IE9 e IE10)? Come si comporta HSTS? Ci sarà qualche impatto sul sito?
Un sito web implementa HSTS inviando un'intestazione Strict-Transport-Security
. Un browser che non capisce l'intestazione semplicemente lo ignorerà, proprio come qualsiasi altra intestazione personalizzata o malformata.
Will there be any impact on the site?
L'impatto sarà che l'utente diventa vulnerabile agli attacchi che HSTS dovrebbe proteggere (ad esempio attacchi di downgrade HTTPS). Cioè, se l'utente visita il sito, il suo browser non noterà che i siti li istruiscono a ricordare di connettersi all'host solo tramite HTTPS per un periodo di tempo specificato. Quindi, se l'utente digita mybank.com
, il suo browser tenterà sempre di connettersi al sito tramite HTTP prima invece di richiamare la direttiva HSTS.
Oltre alla minaccia MITM (e al rischio di eseguire un browser obsoleto), non ci sarà alcun impatto sulla loro esperienza di navigazione.
Parzialmente correlato:
Leggi altre domande sui tag http internet-explorer web-browser hsts