HTTPS接続を強制するHTTPレスポンスヘッダー「HSTS」についてまとめました。
HSTSとは
HSTSとは、Webブラウザに対して、HTTPS接続を強制するHTTPレスポンスヘッダーです。
WebサイトにアクセスしたWebブラウザは、ヘッダー内で指定された期間だけ以後の接続も全てHTTPSで行います。
【例】
// Webサイトへのアクセスから1週間(604800秒間)、サブドメインも含めてHTTPS接続を強制する Strict-Transport-Security: max-age=604800; includeSubDomains; preload
HSTSに対応しているWebサイトの利点
HSTSに対応しているWebサイトでは、HTTPS化される前のアドレス(HTTP)へアクセスするクライアント(Webブラウザ)に対して、コンテンツは返さずにHSTSレスポンスヘッダーを通知します。
HSTS通知を受け取ったWebブラウザは、HTTPSページにリダイレクトし、以降も指定された期間は、全てHTTPSで当該Webサイトへ接続します。
そのため、次もHTTPのアドレスへアクセスした場合でもWebブラウザが自動的にHTTPSのページを取得するためセキュリティが高まります。
HSTSに対応していないWebサイトの欠点
HTTPS化されているが、HSTS非対応のWebサイトは、古いHTTPのアドレスにアクセスしたクライアントに対しては、.htaccessなどを利用してHTTPSページへ転送する設定を行うのが一般的です。
ただし、この場合、初回のアクセスはHTTPとなるため(暗号化されていない状態)、転送前に攻撃(リダイレクト先の書換えや中間者攻撃など)を受ける可能性があります。
Google Driveのデスクトップ版をMacにインストールしてFinderで同期させる方法
Google Driveのデスクトップ版をMacにインストールしてFinderで同期させる方法をまとめました。
algorithm.joho.info
コメント