HTTPサイトのドメインを奪われてHSTSを有効化されたら - Qiita
はじめに 最近lovelive-anime.jpドメインが何者かによって移管され一時的にその者の手に渡った。もともとの管理者によってすでに取り戻されたが、攻撃者は一時的にこのドメインに対する全権を握った。この記事では、あくまでも思考実験として攻撃者が他人のHTTPサイトを運用しているドメインの全権を握ったときに、攻撃者がHSTS(HTTP Strict Transport Security)を有効にしてしまった場合どうなるかについて考える。まずはHSTSについて簡単に説明し、そしてその後で今回筆者が考えた攻撃について議論し、最後にまとめを述べる。 この記事を読んでわからないことや改善するべき点を見つけた場合は、気軽にコメントなどで指摘してほしい。 攻撃者によるHSTSの有効化 ここではHSTSに関する説明と、筆者が考える攻撃(?)について説明する。 HSTSとは HSTSとは、HTTPのレ
HSTS Preload list からドメインを削除したい
3ヶ月ほど前に https://hstspreload.appspot.com/ から HSTS Preload list への追加をしたのですが、一部のサブドメインで Chrome からアクセスできなくなったためリストから削除したいのです。 (Chrome以外のブラウザでは問題ありません) 以下の警告が出る状態です。 [自分のサブドメイン].com では HSTS が使用されているため、現在アクセスできません。通常、ネットワーク エラーや不正な操作は一時的なものです。少し時間をおくと、またページにアクセスできるようになる可能性があります。 現在試した方法としては 上記警告文のリンク先にある方法 chrome://net-internals/#hsts からDELETEする Chromeの再インストール サイト側で Strict-Transport-Security ヘッダの max-ag
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
