Home » » HSTSとは何ですか?

HSTSとは何ですか?

HSTSは、Webセキュリティ応答ヘッダーです。この名前は「HTTPStrictTransportSecurity」の頭字語です。HSTSヘッダーの機能は、ブラウザーにHTTPSを使用してWebサイトに接続するように強制することです。

ヒント:HTTPSは暗号化を使用して、Web接続を変更または監視しようとするハッカーからWeb接続を保護します。HTTPにはこれらの保護がないため、適切な場所にいるハッカーがHTTPトラフィックを監視および変更する可能性があります。

Web応答ヘッダーは、サーバーがWeb要求に応答するときにサーバーによって送信されるメタデータの一部です。これらのヘッダーのサブセットは、Webサイトとユーザーのセキュリティを強化することを目的としているため、セキュリティヘッダーと呼ばれることがよくあります。

HSTSヘッダーには、2つの必須部分と2つのオプション部分があります。ヘッダー名「Strict-Transport-Security」、次に「max-age」演算子と値はどちらも必須です。「includeSubDomains」と「preload」という別の演算子のペアも使用されることがあります。

ブラウザがHSTSヘッダー付きのHTTPS応答を受信すると、「max-age」タイマーの間、HTTPSのみを使用して、このWebサイトとその上のすべてのリソースに接続するように指示されます。「max-age」は、ブラウザが設定を記憶する必要がある期間を表す変数です。「max-age」の値は秒単位で表示され、推奨値は「31536000」(1年)です。

アイデアは、後続のページが読み込まれるたびにリセットされるこのタイマーの期間内に、ブラウザがHTTPS接続を必要とし、HTTPリソースを拒否するというものです。これは、あなたとWebサーバーの間のハッカーがあなたが受け取る応答を操作できる中間者攻撃から保護します。

これがあなたを保護する主なポイントは、最初の接続です。通常、Webサイトに接続するときに、HTTP Webサイトを要求してから、HTTPSWebサイトに転送することができます。残念ながら、中間者の立場にあるハッカーは、このHTTPSへのアップグレードを阻止し、Webサイトでのアクティビティを盗んだり監視したりする可能性があります。ただし、HSTSヘッダーがブラウザに表示されると、ブラウザはHTTPSを介した最初の接続も確立し、ハッカーからユーザーを保護します。

HSTSは、安全でないリソースが読み込まれるのを防ぎます。これらのリソースがHTTP経由で配信された場合、攻撃者によって悪意を持って変更される可能性もあります。

「includeSubDomains」演算子は、ヘッダーがWebサイトのすべてのサブドメインにも適用される必要があることを示すために使用されます。

HSTSプリロードリスト

Webサイトに初めて接続したときに、HSTSがまだ保護されていないことに気付くかもしれません。これが「プリロード」演算子の出番です。WebサイトはHSTSプリロードリストに含めるために自分自身を送信できます。この場合、「プリロード」演算子は必須のインジケーターです。HSTSプリロードリストは定期的に更新され、ブラウザに保存されます。サイトが含まれている場合、ブラウザはHSTS保護を適用します。これは、ブラウザがHSTS応答ヘッダーを確認する前の最初の接続でも発生します。

ヒント:HSTSプリロードリストに1年以上の「最大年齢」を追加する必要があります。 

HSTSの問題

HSTSの主なポイントの1つは、HTTPS接続に問題がある場合にエラーメッセージを表示することです。追加のセキュリティ対策として、ユーザーは通常のHTTPSエラーでバイパスできるので、HSTSエラーメッセージをバイパスできないようになっています。

残念ながら、企業がWebサイト全体の前にHSTSを展開し、そこで使用されるすべてのリソースがHTTPSをサポートしている場合、これにより問題が発生する可能性があります。この場合、ユーザーはバイパスできないHSTSセキュリティエラーメッセージを表示し始め、本質的にWebサイトを完全に破壊します。最悪の部分は、HSTSヘッダーを削除するだけでは、それらのユーザーの問題が修正されないことです。ユーザーのブラウザーは、潜在的に数か月にわたる「最大年齢」の間、HSTSを強制し続けるからです。

そのため、ヘッダーを最初にデプロイするときに短い「max-age」を使用することが非常に重要です。問題がある場合は、発見されてから短時間しか持続しません。ウェブサイトが完全にHSTSに準拠していると確信した場合にのみ、長いHSTSタイマーを設定する必要があります。

ヒント:「max-age」を0に設定することもできます。これにより、保存されたHSTSエントリが表示されたすべてのユーザーから削除されます。これは問題がある場合に役立ちますが、ユーザーが再試行することを決定した場合にのみ影響します。


Leave a Comment

ミュゼプラチナム、破産へ - 長年の実績、オーナー、そして何が起きてしまったのか?救済の道は?

ミュゼプラチナム、破産へ - 長年の実績、オーナー、そして何が起きてしまったのか?救済の道は?

大手脱毛サロンチェーン「ミュゼプラチナム」が、現在、破産という危機に瀕しています。2025年5月、複数の報道機関によって、同社を運営する株式会社MPHに対し、債権者である従業員らが破産手続きの申し立てを準備していることが報じられました。長年にわたり多くの女性に支持されてきたミュゼプラチナムに一体何が起こっているのでしょうか。

トゥン・トゥン・トゥン・サフール:2025年ラマダンのTikTokで爆発的人気のミーム

トゥン・トゥン・トゥン・サフール:2025年ラマダンのTikTokで爆発的人気のミーム

「トゥン・トゥン・トゥン・サフール(Tung Tung Tung Sahur)」は、2025年初頭にTikTokで爆発的に広まったバイラルミームで、イスラム教の聖なる断食月であるラマダンと密接に関連しています。

修正: Windows 11 でピン留めされていないアプリが再度表示される問題

修正: Windows 11 でピン留めされていないアプリが再度表示される問題

ピン留めが解除されたアプリやプログラムがタスクバーに再度表示される場合は、Layout XMLファイルを編集してカスタム行を削除できます。

Firefoxの自動入力から保存された情報を削除する方法

Firefoxの自動入力から保存された情報を削除する方法

WindowsおよびAndroidデバイス用の簡単な手順で、Firefoxの自動入力から保存された情報を削除します。

iPod Shuffleのソフトリセットとハードリセットの方法

iPod Shuffleのソフトリセットとハードリセットの方法

このチュートリアルでは、Apple iPod Shuffleのソフトリセットまたはハードリセットを実行する方法を示します。

AndroidでGoogle Playのサブスクリプションを管理する方法

AndroidでGoogle Playのサブスクリプションを管理する方法

Google Playには多くの素晴らしいアプリがあり、サブスクリプションを登録せずにはいられません。しかし、それが増えると、Google Playのサブスクリプションを管理する必要が出てきます。

Galaxy Z Fold 5でSamsung Payを使用する方法

Galaxy Z Fold 5でSamsung Payを使用する方法

ポケットや財布の中で支払い用のカードを探すのは本当に面倒です。近年、さまざまな企業が非接触型支払いソリューションを開発・発売しています。

Androidのダウンロード履歴を削除する方法

Androidのダウンロード履歴を削除する方法

Androidのダウンロード履歴を削除することで、ストレージスペースが増えます。以下の手順を実行してください。

Facebookから写真やビデオを削除する方法

Facebookから写真やビデオを削除する方法

このガイドでは、PC、Android、またはiOSデバイスを使用してFacebookから写真やビデオを削除する方法を説明します。

Galaxy Tab S9をリセットする方法

Galaxy Tab S9をリセットする方法

Galaxy Tab S9 Ultraを使っている間、時にはリセットが必要になる場合があります。ここでは、Galaxy Tab S9をリセットする方法を詳しく説明します。