Home » » HSTSとは何ですか?

HSTSとは何ですか?

HSTSは、Webセキュリティ応答ヘッダーです。この名前は「HTTPStrictTransportSecurity」の頭字語です。HSTSヘッダーの機能は、ブラウザーにHTTPSを使用してWebサイトに接続するように強制することです。

ヒント:HTTPSは暗号化を使用して、Web接続を変更または監視しようとするハッカーからWeb接続を保護します。HTTPにはこれらの保護がないため、適切な場所にいるハッカーがHTTPトラフィックを監視および変更する可能性があります。

Web応答ヘッダーは、サーバーがWeb要求に応答するときにサーバーによって送信されるメタデータの一部です。これらのヘッダーのサブセットは、Webサイトとユーザーのセキュリティを強化することを目的としているため、セキュリティヘッダーと呼ばれることがよくあります。

HSTSヘッダーには、2つの必須部分と2つのオプション部分があります。ヘッダー名「Strict-Transport-Security」、次に「max-age」演算子と値はどちらも必須です。「includeSubDomains」と「preload」という別の演算子のペアも使用されることがあります。

ブラウザがHSTSヘッダー付きのHTTPS応答を受信すると、「max-age」タイマーの間、HTTPSのみを使用して、このWebサイトとその上のすべてのリソースに接続するように指示されます。「max-age」は、ブラウザが設定を記憶する必要がある期間を表す変数です。「max-age」の値は秒単位で表示され、推奨値は「31536000」(1年)です。

アイデアは、後続のページが読み込まれるたびにリセットされるこのタイマーの期間内に、ブラウザがHTTPS接続を必要とし、HTTPリソースを拒否するというものです。これは、あなたとWebサーバーの間のハッカーがあなたが受け取る応答を操作できる中間者攻撃から保護します。

これがあなたを保護する主なポイントは、最初の接続です。通常、Webサイトに接続するときに、HTTP Webサイトを要求してから、HTTPSWebサイトに転送することができます。残念ながら、中間者の立場にあるハッカーは、このHTTPSへのアップグレードを阻止し、Webサイトでのアクティビティを盗んだり監視したりする可能性があります。ただし、HSTSヘッダーがブラウザに表示されると、ブラウザはHTTPSを介した最初の接続も確立し、ハッカーからユーザーを保護します。

HSTSは、安全でないリソースが読み込まれるのを防ぎます。これらのリソースがHTTP経由で配信された場合、攻撃者によって悪意を持って変更される可能性もあります。

「includeSubDomains」演算子は、ヘッダーがWebサイトのすべてのサブドメインにも適用される必要があることを示すために使用されます。

HSTSプリロードリスト

Webサイトに初めて接続したときに、HSTSがまだ保護されていないことに気付くかもしれません。これが「プリロード」演算子の出番です。WebサイトはHSTSプリロードリストに含めるために自分自身を送信できます。この場合、「プリロード」演算子は必須のインジケーターです。HSTSプリロードリストは定期的に更新され、ブラウザに保存されます。サイトが含まれている場合、ブラウザはHSTS保護を適用します。これは、ブラウザがHSTS応答ヘッダーを確認する前の最初の接続でも発生します。

ヒント:HSTSプリロードリストに1年以上の「最大年齢」を追加する必要があります。 

HSTSの問題

HSTSの主なポイントの1つは、HTTPS接続に問題がある場合にエラーメッセージを表示することです。追加のセキュリティ対策として、ユーザーは通常のHTTPSエラーでバイパスできるので、HSTSエラーメッセージをバイパスできないようになっています。

残念ながら、企業がWebサイト全体の前にHSTSを展開し、そこで使用されるすべてのリソースがHTTPSをサポートしている場合、これにより問題が発生する可能性があります。この場合、ユーザーはバイパスできないHSTSセキュリティエラーメッセージを表示し始め、本質的にWebサイトを完全に破壊します。最悪の部分は、HSTSヘッダーを削除するだけでは、それらのユーザーの問題が修正されないことです。ユーザーのブラウザーは、潜在的に数か月にわたる「最大年齢」の間、HSTSを強制し続けるからです。

そのため、ヘッダーを最初にデプロイするときに短い「max-age」を使用することが非常に重要です。問題がある場合は、発見されてから短時間しか持続しません。ウェブサイトが完全にHSTSに準拠していると確信した場合にのみ、長いHSTSタイマーを設定する必要があります。

ヒント:「max-age」を0に設定することもできます。これにより、保存されたHSTSエントリが表示されたすべてのユーザーから削除されます。これは問題がある場合に役立ちますが、ユーザーが再試行することを決定した場合にのみ影響します。


Leave a Comment

YouTubeのピクチャー・イン・ピクチャーが機能しない問題を解決する方法

YouTubeのピクチャー・イン・ピクチャーが機能しない問題を解決する方法

YouTube は、iPhone、iPad、または Android スマートフォンでビデオを再生し続けるための小さなフローティング ウィンドウを開くことができませんか。このガイドでは、ピクチャーインピクチャーモードの問題を解決する方法について詳しく説明します。

RokuのVPNを設定する方法

RokuのVPNを設定する方法

Rokuで地理的制限を回避するためにVPNを設定する方法について詳しく解説しています。

Slack:パブリックファイル共有を無効にする方法

Slack:パブリックファイル共有を無効にする方法

Slackは、ワークスペースのメンバーが通信できるようにするチャネルベースの通信アプリです。このガイドでは、Slackでファイルが公開されないようにする方法を説明します。

ストリーミングサイトがコンテンツをジオブロックするのはなぜですか?

ストリーミングサイトがコンテンツをジオブロックするのはなぜですか?

ストリーミングサイトのジオブロッキングの理由と解決策を探りましょう。VPNを使用して地理的制限をバイパスする方法を紹介します。

Bitwarden:WebVaultの表示言語を変更する方法

Bitwarden:WebVaultの表示言語を変更する方法

BitwardenのWebVaultで表示言語を変更する方法を詳述します。多言語サポートの活用法についても解説。

面白いWi-Fi名のリスト

面白いWi-Fi名のリスト

ユニークで面白いWi-Fi名のアイデアを探していますか?ここでは、あなたの近所を笑わせるための創造的なWi-Fiネットワーク名のリストを提供します。

Chromeの秘密の恐竜ゲームをプレイする方法

Chromeの秘密の恐竜ゲームをプレイする方法

Chromeの恐竜ゲームのプレイ方法を知りたいですか?最高のグラフィックスはありませんが、楽しい経験が詰まっています。

ズーム:スペースキーを使用してマイクのミュートを解除する方法

ズーム:スペースキーを使用してマイクのミュートを解除する方法

ズームマスターになり、1つのアクションでミュートを解除する方法を学びます。この時間節約のトリックが何であるかを発見してください。

PayPal:自動ログインを無効にする方法

PayPal:自動ログインを無効にする方法

アカウントをさらに安全にするために、PayPalの自動ログインをすばやくオフにします。数秒しかかかりませんが、多くの問題を回避できます。

Chromeでコピーアンドペーストが機能しない問題を修正

Chromeでコピーアンドペーストが機能しない問題を修正

Chromeでコピーと貼り付けのオプションを使用できない場合は、拡張機能を無効にし、キャッシュをクリアしてブラウザを更新してください。