https://www.owasp.org/index.php/HTTP_Strict_Transport_Security#Browser_SupportでOWASPのHSTSチートシートを読み 、関連するビデオも視聴しました: https ://www.youtube.com/watch?v=zEV3HOuM_Vw
しかし、それでも、ユーザーがhttp://site.comと入力した場合に、これが中間者攻撃に対してどのように役立つかを理解できません。OWASPはそれが役立つと主張しています。
次のシナリオを想像してみましょう。仲介者が被害者からリクエストを受け取ります:http://site.com。次に、https://site.comにHTTPSリクエストを送信し、コンテンツをユーザーに返し、HSTSヘッダーを削除します。それ以降のすべてのユーザー入力は、攻撃者に表示されます。
私の考えでは、最初からHTTPSを使用しない限り、MITMから保護する方法はありません。
HSTSヘッダーはMITM攻撃に対して本当に役立ちますか?
HSTSは、ユーザーエージェントが以前にサイトにアクセスしたことがあり、最初のアクセス時にMITMからの干渉がなかった場合にのみ役立ちます。つまり、最初にサイトにアクセスしたときは脆弱ですが、二度とアクセスすることはありません。
初めて脆弱になるため、HSTSは完璧にはほど遠いです。しかし、それはあなたが以前にサイトにアクセスした後にあなたを標的とする攻撃者から保護するので、何もないよりはましです。
(ユーザーが初めてhttpsを使用するように注意した場合を除きます。その場合、ユーザーは最初に保護され、その後のすべてのアクセスでhttpsの使用を忘れないように保護されます。)
FirefoxはHSTSプリロードリストにも取り組んでいます:http://blog.mozilla.org/security/2012/11/01/preloading-hsts/
ブラウザは通常、HSTS情報を実装に依存する何らかの形式の安全なストアに保持します。もちろん、FirefoxとChromeではコードを閲覧できます。たとえば、https://code.google.com/p/chromium/source/search?q = stsheader&origq = stsheader&btnG = Search+Trunkを参照してください。