SameSite属性とCSRFとHSTS - Cookieの基礎知識からブラウザごとのエッジケースまでおさらいする - Flatt Security Blog
こんにちは、 @okazu_dm です。 この記事は、CookieのSameSite属性についての解説と、その中でも例外的な挙動についての解説記事です。 サードパーティCookieやCSRF対策の文脈でCookieのSameSite属性に関してはご存知の方も多いと思います。本記事でCookieの基礎から最近のブラウザ上でのSameSite属性の扱いについて触れつつ、最終的にHSTS(HTTP Strict Transport Security)のような注意点を含めて振り返るのに役立てていただければと思います。 前提条件 Cookieについて Cookieの属性について SameSite属性について SameSite属性に関する落とし穴 SameSite属性を指定しなかった場合の挙動 SameSite: Strictでも攻撃が成功するケース 例1: スキームだけ違うケース 例2: サブドメイ
はじめに 最近lovelive-anime.jpドメインが何者かによって移管され一時的にその者の手に渡った。もともとの管理者によってすでに取り戻されたが、攻撃者は一時的にこのドメインに対する全権を握った。この記事では、あくまでも思考実験として攻撃者が他人のHTTPサイトを運用しているドメインの全権を握ったときに、攻撃者がHSTS(HTTP Strict Transport Security)を有効にしてしまった場合どうなるかについて考える。まずはHSTSについて簡単に説明し、そしてその後で今回筆者が考えた攻撃について議論し、最後にまとめを述べる。 この記事を読んでわからないことや改善するべき点を見つけた場合は、気軽にコメントなどで指摘してほしい。 攻撃者によるHSTSの有効化 ここではHSTSに関する説明と、筆者が考える攻撃(?)について説明する。 HSTSとは HSTSとは、HTTPのレ
ChromeがHTTPSに優先アクセスする307リダイレクトをHSTS関係なくやるようになった - Code Day's Night
2023年11月1日の時点の情報です。 先にまとめを書きます。興味があれば詳細もどうぞ。 まとめ 10月16日のChrome 118からHTTPS ファーストモードがデフォルトでオンに 条件によってHTTPS Upgradeが働いてhttpのサイトにアクセスするとhttpsに優先的にアクセスさせる挙動(Chromeが内部で擬似的に307リダイレクトを返してhttpsに誘導) HSTSサイトではないhttpサイトでもこの挙動となるケースがある httpsにアクセスできない場合やレスポンスに3秒以上かかる場合はフォールバックでhttpに誘導(Chromeが内部で擬似的に307リダイレクトを返して元のhttpに誘導) 詳細 条件 307で擬似的にリダイレクトする条件は、いくつかあるようです。把握しているものを列挙します。 HSTSサイト(HSTSヘッダ指定、Preloadリストのサイト) HST
プライバシーモードでもiPhoneでも追跡? エンジニアが知っておくべき「HSTS Super Cookies」 | DevelopersIO
こんにちは、せーのです。 みなさんは数日前から軽く話題になっているクッキーについてご存知でしょうか。その名も「HSTS Super Cookies」と言います。このクッキーは通常のブラウザモードはもちろん、クッキーなどを残さない「プライバシーモード」果ては同一iCloudアカウントのiPhoneまで追跡できる、というではないですかなにそれこわい。 ということで今日はこの「HSTS Super Cookies」とは何者で、どういう仕組みでこうなっているのか、現時点での対応状況をご紹介します。 まずは見てください。 まずは百聞は一件に如かず、ということでこちらを御覧ください。 何か数字と文字が合わさったパスワード的なものが出てきていますでしょうか。これがいわゆる「HSTS Super Cookies」を使用した追跡のデモとなります。 この数字と文字の組み合わせはHSTSという機能を使用してブラ
HTTPSを使うなら“HSTS”と“HSTSプリロード”でセキュリティを高めよう など10+4記事 | 海外&国内SEO情報ウォッチ
HSTS(HTTP Strict Transport Security)という仕組みがある。簡単にいうと、次のような仕組みだ。 「このサイトにはHTTPではなくHTTPSで必ず接続するように」と、サーバーがブラウザに指示するHTTPヘッダー。この指示を受け取ったブラウザは、その情報を記録しておき、以降は、そのサイトに対してアクセスするのにHTTPを使わず自動的にHTTPSで接続するようにする。 たとえHTTPSでサイトを構成していたとしても、通信を傍受されたりフィッシング詐欺に遭ったりする危険性がある(特に無線LANなどの環境で)。これを防ぐのにHSTSを利用できる。 グーグルは、HTTPSをランキング要因に組み込んだことを発表した際に、「サイトでHSTSを有効にするように」と指示している。 ところが、たしかにHSTSによってブラウザは必ずHTTPSで接続を試みるのだが、それは2回目以降だ
HTTPで接続した際に、強制的にHTTPSへリダイレクトし、以降のそのドメインへの接続はすべてHTTPSとする機能がHSTS (HTTP Strict Transport Security) である。RFC6797で標準化されている。 これはHTTPヘッダに以下を含むことで実現される。 Strict-Transport-Security:max-age=有効期間秒数;includeSubDomains max-ageではHTTPSで通信する期間を設定する。また、includeSubDomainsを指定することで、サブドメインにもHSTSが適用されるように設定できる。 HSTSのサポートは、2015年6月9日にマイクロソフトがIEへのサポートを追加したことで、すべてのメジャーブラウザにおいてサポートが完了し、HTTPサーバーとしてもApacheを始めとし設定が可能だ。 Apacheの設定 A
Chrome & Firefox now force .dev domains to HTTPS via preloaded HSTS
Chrome & Firefox now force .dev domains to HTTPS via preloaded HSTS Want to help support this blog? Try out Oh Dear, the best all-in-one monitoring tool for your entire website, co-founded by me (the guy that wrote this blogpost). Start with a 10-day trial, no strings attached. We offer uptime monitoring, SSL checks, broken links checking, performance & cronjob monitoring, branded status pages & s
Googleが「google.com」ドメインに「HTTP Strict Transport Security」(HSTS)を実装した。ユーザーがインセキュアなHTTPを使用して自社サイトにアクセスするのを防ぐためだ。 HSTSは、サイト運営者がブラウザに対して、セキュアなHTTPS接続を使用した場合にのみサイトへのアクセスを可能にすることで、SSLストリップ攻撃や中間者攻撃を阻止するものだ。「Chrome」や「Safari」、「Internet Explorer」、「Microsoft Edge」などの主要ブラウザは軒並みHSTSをサポートしている。 「HSTSは、インセキュアなHTTPのURLをセキュアなHTTPSのURLに自動的に変換することで、ユーザーがうっかりHTTPのURLにアクセスするのを防止する。ユーザーはプロトコルなし、またはHTTPのURLをアドレスバーに手動で入力した
I am the site owner of example.com or have their permission to preload HSTS. (If this is not the case, example.com may be sending the HSTS preload directive by accident. Please contact hstspreload@chromium.org to let us know.) I understand that preloading example.com through this form will prevent all subdomains and nested subdomains from being accessed without a valid HTTPS certificate: *.example
HSTSではインセキュアなHTTP URLを自動的にセキュアなHTTPS URLに変換することによって、ユーザーによるHTTP URLの参照を防止する。 WebサイトのHTTPS接続を推進している米Googleは7月29日、転送中のデータの保護を一層強化する目的で、「www.google.com」のドメイン上で「HTTP Strict Transport Security」(HSTS)を実装したと発表した。 Googleによると、HSTSではインセキュアなHTTP URLを自動的にセキュアなHTTPS URLに変換することによって、ユーザーによるHTTP URLの参照を防止する。ユーザーはアドレスバーにHTTPのURLを入力したり、他のWebサイトのHTTPリンクをたどったりして、そうしたHTTP URLにアクセスしてしまうことがあるという。 「転送中のデータの暗号化は、ユーザーやユーザー
Is Secure Cookie secure? - CookieのSecure属性・__Host-プレフィックス・HSTSを正しく理解しよう - Flatt Security Blog
こんにちは、 @okazu_dm です。 前回の記事 に引き続きCookie関連のセキュリティに関する記事となります。 今回は、Cookieの仕様を定めたRFC6265(https://datatracker.ietf.org/doc/html/rfc6265)自体に含まれるSecure属性の問題点と、その対策について紹介していきます。 CookieのSecure属性自体は前回紹介したSameSite属性と比較してわかりやすいのもあり、かなり知名度が高いと思われますが、Secure属性単体で守れる範囲というのは実は限定的である、という点を本記事では実験も交えて示していきます。 なお、本記事はセキュリティ以外の分野を主業務とするソフトウェアエンジニアを主な想定読者として書いています。 記事内の検証につかったブラウザのバージョン Cookieについて 中間者攻撃の仕組み 実際に中間者攻撃をして
Protecting Against HSTS Abuse
HTTP Strict Transport Security (HSTS) is a security standard that provides a mechanism for web sites to declare themselves accessible only via secure connections, and to tell web browsers where to go to get that secure version. Web browsers that honor the HSTS standard also prevent users from ignoring server certificate errors. Apple uses HSTS on iCloud.com, for example, so that any time a visitor
http のリクエストが勝手にhttps にリダイレクトされる事案が発生しました。 状況としては↓な状況 beniyama.hatenablog.jp サーバ側は設定を変更・再起動でよいけど ブラウザに残ったHSTS キャッシュが消えないかぎり、https にリダイレクトされ続けます。 キャッシュ消えるまで待つとかつらすぎるので、chromeのHSTSキャッシュを削除します chromeのHSTSキャッシュを削除する方法 chrome://net-internals/#hsts をchrome のURLに入力し、移動する。 Delete domain の箇所に削除したいドメインを入力します。 Delete ボタンをクリックします。 gyazo.com 終
Intro 本サイトにて HTTP Strict Transport Security (HSTS) を有効化した。 includeSubdomains を用いた *.jxck.io 全体への適用および、ブラウザへの Preload 登録も検討したが、本サイトの特性上それは見送った。 導入に必要な設定や、注意点についてまとめる。 HSTS 本サイト (blog.jxck.io) では、フル HTTPS 化が完了しており、 HTTP へのリクエストは全て HTTPS へリダイレクトしている。 特に本サイトのタイトル自体が blog.jxck.io であり、ドメイン名と同じになっているため、これが Twitter などで http://blog.jxck.io へのリンクと解釈される場合が多く、そこからの HTTP アクセスも少なくはない。 しかし、 MITM の脅威への対策が可能な HTTP
以前の新規サイト公開時に初期設定したい.htaccessの書き方の記事でも書きましたが、 簡単に説明すると、 SSL化したとしてもhttpでアクセスされる場合があり、セキュリティ上では万全ではない(通信を傍受されたりフィッシング詐欺に遭ったりする危険性がある)ようです。それを防ぐ仕組みとしてサーバー側でHTTPSで必ず接続するようにとブラウザに指示するのが、HSTSの設定です。 この設定をすると、そのサイトに対してアクセスするのにHTTPを使わず自動的にHTTPSで接続するようにできます。 HSTSの設定方法HSTSの設定方法は.htaccessに以下の内容を記述します。 Header set Strict-Transport-Security "max-age=31536000" max-ageは有効期間です。単位は秒で、86,400秒は1日です。 31,536,000は1年間を設定して
Websites could use a security feature of your iPad to track your browsing even if you clear the browser history or completely replace the device. Demonstration ... This is a unique value that was generated by JavaScript in this page. The page attempts to store this value in your web browser and read it again when you visit the page in the future. Different web browsers don't behave exactly the sam
Mozilla Foundationは「Firefox 4 Beta 5」をリリースした。この最新のベータ版では、音声APIが追加され、メニュー項目が変更されたほか、ハードウェアアクセラレーションがデフォルトで有効化されており、セキュリティ機能が強化された。Windows版、Mac版、Linux版が提供されている。 Windows版のメニューには、前のベータ版にはなかった機能が数多く追加され、メニュー項目が1列から2列になった。また新機能の音声データAPIにより、開発者が生の音声データを扱えるようになった。さらに、強制的にHTTPSを使用するHTTP Strict Transport Security(HSTS)のサポートが追加され、安全な接続を確立できなければ、セキュアでない接続が利用できる場合でもURLの解決を行わないようにできる。
「Chromeでこの接続ではプライバシーが保護されません。HSTSが使用されているため、現在アクセスできません」と表示されてアクセス出来ないときの対処方法を紹介します。 何が起きているのか暗号化通信(HTTPS)を「絶対に行う」ように指定されたサイトなのにも関わらず、暗号化通信が出来なかったときに発生します。 この接続ではプライバシーが保護されません bicstone.me では、悪意のあるユーザーによって、パスワード、メッセージ、クレジットカードなどの情報が盗まれる可能性があります。 bicstone.me では通常、暗号化して情報を保護しています。 今回、Chrome から bicstone.me への接続試行時に、このウェブサイトからいつもとは異なる誤った認証情報が返されました。悪意のあるユーザーが bicstone.me になりすまそうとしているか、Wi-Fi ログイン画面で接続が
.app 1 .dev 1 #11WeeksOfAndroid 13 #11WeeksOfAndroid Android TV 1 #Android11 3 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #DevFest20 1 #DevFest21 1 #DevFest22 1 #DevFest23 1 #hack4jp 3 11 weeks of Android 2 A MESSAGE FROM OUR CEO 1 A/B Testing 1 A4A 4 Accelerator 6 Accessibility 1 accuracy 1 Actions on Google 16 Activation Atlas 1 address validation API 1 Addy Osmani 1 ADK 2 AdMob 32 Ads
Analytics cookies are off for visitors from the UK or EEA unless they click Accept or submit a form on nginx.com. They’re on by default for everybody else. Follow the instructions here to deactivate analytics cookies. This deactivation will work even if you later click Accept or submit a form. Check this box so we and our advertising and social media partners can use cookies on nginx.com to better
目次3分で出来るHSTS preload設定手順(簡略説明バージョン)".htaccessファイル"にHSTS preload情報を記述するhstspreload.orgに登録するHSTSとは301リダイレクト設定だけではダメなのか?HSTSプリロードとはHSTS設定する前の確認項目SSL証明書は有効か?httpからhttpsへの301リダイレクト設定が行われているか?常時SSL化されているか?HSTSプリロード設定の詳細な手順hstspreload.orgで現在の状況をチェックする".htaccess"にHSTS preload情報を加筆しましょうHSTSプリロード設定する際の注意点 [2018.07.26追記] 3分で出来るHSTS preload設定手順(簡略説明バージョン) とりあえず、この通り行えばHSTSプリロード設定ができる手順を説明します。詳しい説明は [ HSTSとは ]
“Header set Strict-Transport-Security”がHSTSのヘッダーの設定コードです。 “max-age=10886400″は、max-ageの設定です。単位は秒になります。10886400秒は18週です。最初は短めに設定して確認を行い、徐々に長くしていくことを推奨しています。プリロードの申請のページでは、max-ageを2年(63072000)まで引き上げてプリロードリストに申請することを推奨しています。 “includeSubDomains”は、サブドメインを含むディレクティブの設定コードです。 “preload”はプリロードのディレクティブです。 上記、コード設定でプリローディングの条件を満たしています。 [目次に戻る ] HSTS 設定の動作確認方法 HSTSの設定が動作しているかを確認する方法の代表的な例を以下に紹介します。プリロードリストの登録申請時
はじめに Webサイトがどのように表示されるのかを知るために『What happens when...』を読みました。 しかし、HSTSが何なのか理解できず、かなり最初の方でつまづいてしまったので、今回の記事では自分が調べたことをまとめたいと思います。 「HSTSをチェックする」 以下が『What happens when...』で書かれていた説明です。 ブラウザは"preloaded HSTS(HTTP Strict Transport Security)"リストを調べます。これはHTTPSでのみリクエストを送るように求めているウェブサイトの一覧です。 もしそのウェブサイトがリストにあれば、ブラウザはHTTPではなくHTTPSでリクエストを送ります。なければ最初のリクエストはHTTPで送られます。ウェブサイトは、HSTS一覧になくてもHSTSポリシーを利用可能であることに注意してください
httpでアクセスしたいのにhttpsへリダイレクトされて悩んだ(HSTSまたはStrict-Transport-Securityの沼) - Qiita
httpでアクセスしたいのにhttpsへリダイレクトされて悩んだ(HSTSまたはStrict-Transport-Securityの沼)SSLheaderredirectHTTPS 解決まで時間がかかったので自分への戒めとして残しておく [事象] httpでアクセスしたいのにhttpsでのアクセスにリダイレクトする ERR_SSL_PROTOCOL_ERRORとブラウザに言われる これはSSLに対応していないサーバにhttpsでアクセスしたため [ポイント] サーバにSSLの設定はしていない アプリケーションでもリダイレクトの設定はしていない でもhttpsになる。。。 [原因] レスポンスヘッダで以下を返却していることで そのドメインではブラウザがhttpsでアクセスするように求めていると理解する includeSubDomainsがあることで、サブドメインまで対象となる。 [解決方法]
Internet Engineering Task Force (IETF) J. Hodges Request for Comments: 6797 PayPal Category: Standards Track C. Jackson ISSN: 2070-1721 Carnegie Mellon University A. Barth Google, Inc. November 2012 HTTP Strict Transport Security (HSTS) Abstract This specification defines a mechanism enabling web sites to declare themselves accessible only via secure connections and/or for users to be able to dire
参考 6.4.7. 307 Temporary Redirect | RFC 7231 – HTTP/1.1: Semantics and Content2. HSTS の問題点このHSTS、以下のようなことが起きるとかなり面倒です。 ある期間、example.com というドメインのウェブサイトを運営しているウェブサーバーが Strict-Transport-Security というレスポンスヘッダを返すよう設定されていました。その期間中にそのウェブサーバーにアクセスしたブラウザは、ブラウザ内の「HSTS適用ドメイン」に example.com を追加します。しばらくして、このウェブサイトにおいて「 https でアクセスされると何らかの問題が起きる」ことが発覚したとします。サイト運営者は http でもアクセスできるように、example.com のウェブサーバーが、Strict-Tr
HSTS をやめる方法 | Open the Next
そんな設定をサーバ側でしていないのに、URL スキームに http を指定しているのに、「なぜ常に https でアクセスされてしまうのじゃー」、と悩んだ現象の原因と解決方法です。 ■原因 HSTS という、URL スキームに関係なく、https でアクセスさせる仕組みが原因でした。 でも、Web サーバ側では明示的に HSTS の「Strict-Transport-Security」ヘッダを出した覚えはありません。 さらに探っていくうちに、該当 URL のサブディレクトリにインストールした、OwnCloud において、「設定」内の「常にHTTPSを使用する」にチェックを入れていると、「Strict-Transport-Security」ヘッダが出力される仕様でした。 このため、この設定を行った後、https で該当 URL の OwnCloud にアクセスしてしまうと、ブラウザが「この
HSTSによる強制HTTPS無間地獄にどハマりした件
サイトの完全SSL化でアレコレ試しているうちに、メインサイトとは無関係のサブドメインまで勝手にHTTPSでのアクセスになったり、どう設定を変えてもHSTSを要求されるようになってしまった。 具体的には、下記のメッセージがどうやっても消えないという状態だ。 このサイトでは、暗号化された通信のみで接続するよう Firefox に指定する HTTP Strict Transport Security (HSTS) が使われています。そのため、この証明書を例外に追加することはできません。 試行錯誤した結果、完全SSL化の試行錯誤の途中で付けた下記のヘッダが、この悪さをしていたということがわかった。 add_header Strict-Transport-Security "max-age=31536000; includeSubDomains;"; このヘッダが付いたサイトにブラウザがアクセスする
Google Online Security Blog: Broadening HSTS to secure more of the Web
The latest news and insights from Google on security and safety on the Internet
※本ページはプロモーションが含まれています 作成:2016/02/22 更新:2016/09/09 ブログやWebサイトをHTTPS化したのなら「HSTS」も設定しておく必要があります。 「HSTS」は、このサイトにアクセスするときは必ずHTTPSで接続するように指示できるHTTPヘッダーで、httpではじまるURLでアクセスしてもブラウザが自動的にhttpsのURLに書き換えてアクセスしてくれるようになります。 Googleは、HTTPS化したサイトは「HSTS」を有効化するようにとアナウンスしているので、HTTPSに対応したら「HSTS」の設定も忘れずにしておきましょう。 nginxでHSTSを設定する方法を紹介します。 nginxでHSTSの設定 nginxでsslを設定している設定ファイルを開く。 僕の場合はココ。 $ sudo vi /etc/nginx/conf.d/keike
GitHub - diracdeltas/sniffly: Sniffing browser history using HSTS
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
[レベル: 上級] Googleが検索を完全にHTTPS化して以来まもなく5年がたちます。 さらにセキュリティを高めるために、www.google.comドメインで HTTP Strict Transport Security (HSTS) の実装を始めたことをGoogleはアナウンスしました。 HSTSを適用したことにより、米Google検索を含む www.google.com ドメインを利用するときの2回目以降は、たとえ http で始まるURLでアクセスしようとしたとしても、ブラウザ側で https に置き換えてアクセスするようになります。 ※HSTSに詳しくなければ、Web担当者Forum連載コラムでの解説をご覧ください。このブログのHTTPS移行の際にもHSTS(とPreload HSTS)を実装しています。 www.google.com のHSTSを検証 www.google.
週刊Railsウォッチ(20200217前編)Railsのオプション引数退治、HSTSのデフォルトmax-ageが1年から2年に変更、semantic_logger gemほか|TechRacho by BPS株式会社
2020.02.17 週刊Railsウォッチ(20200217前編)Railsのオプション引数退治、HSTSのデフォルトmax-ageが1年から2年に変更、semantic_logger gemほか こんにちは、hachi8833です。皆さま息災でいらっしゃいますか。 元記事: 新型コロナウィルス、海外からのVIPが来日中止などIT業界でも影響が出始め。バルセロナのMWCも中止に(記事更新) - Publickey(Publickeyより) つっつきボイス:「たしかに相当影響でかそう😰」「いろんなものが届かなくなったりしそう🏷」「人が大勢集まるイベントも影響受けそうですし🥺」 RubyKaigiまでに落ち着いてくれるといいのですが。 各記事冒頭には⚓でパーマリンクを置いてあります: 社内やTwitterでの議論などにどうぞ 「つっつきボイス」はRailsウォッチ公開前ドラフトを(鍋の
WebサイトのHTTPS接続を推進している米Googleは2017年9月27日、「HTTP Strict Transport Security」(HSTS)の適用を拡大し、同社が運営する「.foo」「.dev」などのトップレベルドメイン(TLD)をHSTSプレロードリストに追加していく方針を発表した。 HSTSプレロードリストに登録されたドメインは、たとえユーザーがセキュアでないHTTPのURLを入力した場合でも、ブラウザで強制的に安全なHTTPS接続に自動変換してリクエストが送信される。HSTSはGoogleのChromeのほか、Firefox、Safari、Internet Explorer(IE)、Edge、Operaを含む主要ブラウザに組み込まれている。 HSTSプレロードリストには、個々のドメインやサブドメインだけでなく、TLDを含めることもできる。Googleでは「.googl
Websites could use a security feature of your iPad to track your browsing even if you clear the browser history. Demonstration ... This is a unique value that was generated by JavaScript in this page. The page attempts to store this value in your web browser and read it again when you visit the page in the future. Different web browsers don't behave exactly the same way. To see how your browser pe
はてなBlogをHTTPS化したので HSTS、upgrade-insecure-requests あたりをまとめる - 理系学生日記
先日、はてなブログが HTTPS に対応したということで、このブログも HTTPS 化を実施しました。 このエントリを見ているとき、ブラウザのロケーションバーを見ると HTTPS になっていることが確認できると思います。 今日は、この HTTPS 化にからめて、混在コンテンツ、HTTP Strict Transport Security (HSTS) 、upgrade-insecure-requests あたりをまとめてみたいと思います。 HTTPS 化の流れ 混在コンテンツ HSTS ブラウザが HTTP のページにアクセスした場合 ブラウザが HTTPS のページにアクセスした場合 あれ、少なくとも一度 HTTP にアクセスするならそこを MITM で狙われるのでは HSTS ホストとして登録されているかを確認する方法 upgrade-insecure-requests HSTS と競
強まるHTTPS化の圧力の中で、その移行を円滑に進めるための仕組みであるHTTP Strict Transport Securityについてちょっと調べていた。HTTPでアクセスした際にStrict-Transport-Securityヘッダーがあった場合、その後その指定期間はHTTPでアクセスしようとしてもブラウザー側でHTTPSでアクセスするように処理されるという仕組みだ。HTTPからHTTPSへのリダイレクトが不要になるというわけでもないが、ブラウザー側で処理されることによりよりセキュアにHTTPSへの移行を勧めることができるということだろう。 Chrome 42では307 Internal Redirectで処理されるようだ。開発者ツールで確認できる。 307 Internal Redirect HSTSを利用する際に気をつけることはあまりないが、HTTPSの利用を停止する際には十
Google Chrome / Apple Safari は 301 リダイレクトやHSTSをずっと保存する!? - それマグで!
301/302 のどっちが良いか調べてて気になった。 HTTS ステータスコード 301 でリダイレクトしたら、その転送結果がキャッシュされて、リダイレクト後に戻ってこれない。 301 のリダイレクトがずっと残るので気になってた。 https://stackoverflow.com/questions/9130422/how-long-do-browsers-cache-http-301s At least two browsers - Chrome and Firefox - will cache a 301 redirect with no expiry date FirefoxとChromeの2つに限れば、リダイレクト情報保存に期限はない。 Chrome caches the 301 redirect infinitely, or until you open your DevToo
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
HTTPサイトのドメインを奪われてHSTSを有効化されたら - Qiita
HSTS (HTTP Strict Transport Security) の導入 - Qiita
グーグル、「google.com」にHSTSを実装--HTTPS強制で攻撃を阻止
HSTS Preload List Submission
米Google、検索サイトに「HSTS」実装 危険URLを自動変換
YouTubeへのトラフィックは97%がHTTPS接続、「www.google.com」ではHTTPS接続を強制する「HSTS」実装
chromeのHSTSキャッシュを削除する - cameong’s blog
HTTP Strict Transport Security(HSTS) 対応 | blog.jxck.io
常時SSL化(https)するときのHSTS設定の方法と注意点
RadicalResearch HSTS Super Cookies
モジラ、「Firefox 4 Beta 5」を公開--音声APIやHSTS機能を追加
月例パッチを適用した「IE 11」「Edge」が一部サイトへ接続不能に ~修正パッチが配布/“gov.uk”など“HSTS”が未サポートのサイトで
「HSTSが使用されているため、現在アクセスできません」の対処方法|おおいし (bicstone)
HSTS を拡大し、ウェブのセキュリティを向上させる
HTTP Strict Transport Security (HSTS) and NGINX - NGINX
3分で出来るHSTSプリロードの設定方法 - 常時SSL化後に必ず行うべき設定 - ラボコート
HSTSとは? 推奨される理由とプリロードリスト登録方法 - ブロギングライフ
HTTP Strict Transport Security(HSTS)とは?
RFC 6797: HTTP Strict Transport Security (HSTS)
HSTS が原因で、ウェブサイトが勝手にhttps接続しないようにする
KUSANAGIのnginxでHSTSを設定する方法 | 経験知
Google、www.google.comドメインにHSTSを適用。常にHTTPSで接続するように
Google運営のTLD、HSTSに追加 まずは「.foo」「.dev」が対象
RadicalResearch HSTS Super Cookies
HSTS: HTTP Strict Transport Security