Home » » HSTSとは何ですか?

HSTSとは何ですか?

HSTSは、Webセキュリティ応答ヘッダーです。この名前は「HTTPStrictTransportSecurity」の頭字語です。HSTSヘッダーの機能は、ブラウザーにHTTPSを使用してWebサイトに接続するように強制することです。

ヒント:HTTPSは暗号化を使用して、Web接続を変更または監視しようとするハッカーからWeb接続を保護します。HTTPにはこれらの保護がないため、適切な場所にいるハッカーがHTTPトラフィックを監視および変更する可能性があります。

Web応答ヘッダーは、サーバーがWeb要求に応答するときにサーバーによって送信されるメタデータの一部です。これらのヘッダーのサブセットは、Webサイトとユーザーのセキュリティを強化することを目的としているため、セキュリティヘッダーと呼ばれることがよくあります。

HSTSヘッダーには、2つの必須部分と2つのオプション部分があります。ヘッダー名「Strict-Transport-Security」、次に「max-age」演算子と値はどちらも必須です。「includeSubDomains」と「preload」という別の演算子のペアも使用されることがあります。

ブラウザがHSTSヘッダー付きのHTTPS応答を受信すると、「max-age」タイマーの間、HTTPSのみを使用して、このWebサイトとその上のすべてのリソースに接続するように指示されます。「max-age」は、ブラウザが設定を記憶する必要がある期間を表す変数です。「max-age」の値は秒単位で表示され、推奨値は「31536000」(1年)です。

アイデアは、後続のページが読み込まれるたびにリセットされるこのタイマーの期間内に、ブラウザがHTTPS接続を必要とし、HTTPリソースを拒否するというものです。これは、あなたとWebサーバーの間のハッカーがあなたが受け取る応答を操作できる中間者攻撃から保護します。

これがあなたを保護する主なポイントは、最初の接続です。通常、Webサイトに接続するときに、HTTP Webサイトを要求してから、HTTPSWebサイトに転送することができます。残念ながら、中間者の立場にあるハッカーは、このHTTPSへのアップグレードを阻止し、Webサイトでのアクティビティを盗んだり監視したりする可能性があります。ただし、HSTSヘッダーがブラウザに表示されると、ブラウザはHTTPSを介した最初の接続も確立し、ハッカーからユーザーを保護します。

HSTSは、安全でないリソースが読み込まれるのを防ぎます。これらのリソースがHTTP経由で配信された場合、攻撃者によって悪意を持って変更される可能性もあります。

「includeSubDomains」演算子は、ヘッダーがWebサイトのすべてのサブドメインにも適用される必要があることを示すために使用されます。

HSTSプリロードリスト

Webサイトに初めて接続したときに、HSTSがまだ保護されていないことに気付くかもしれません。これが「プリロード」演算子の出番です。WebサイトはHSTSプリロードリストに含めるために自分自身を送信できます。この場合、「プリロード」演算子は必須のインジケーターです。HSTSプリロードリストは定期的に更新され、ブラウザに保存されます。サイトが含まれている場合、ブラウザはHSTS保護を適用します。これは、ブラウザがHSTS応答ヘッダーを確認する前の最初の接続でも発生します。

ヒント:HSTSプリロードリストに1年以上の「最大年齢」を追加する必要があります。 

HSTSの問題

HSTSの主なポイントの1つは、HTTPS接続に問題がある場合にエラーメッセージを表示することです。追加のセキュリティ対策として、ユーザーは通常のHTTPSエラーでバイパスできるので、HSTSエラーメッセージをバイパスできないようになっています。

残念ながら、企業がWebサイト全体の前にHSTSを展開し、そこで使用されるすべてのリソースがHTTPSをサポートしている場合、これにより問題が発生する可能性があります。この場合、ユーザーはバイパスできないHSTSセキュリティエラーメッセージを表示し始め、本質的にWebサイトを完全に破壊します。最悪の部分は、HSTSヘッダーを削除するだけでは、それらのユーザーの問題が修正されないことです。ユーザーのブラウザーは、潜在的に数か月にわたる「最大年齢」の間、HSTSを強制し続けるからです。

そのため、ヘッダーを最初にデプロイするときに短い「max-age」を使用することが非常に重要です。問題がある場合は、発見されてから短時間しか持続しません。ウェブサイトが完全にHSTSに準拠していると確信した場合にのみ、長いHSTSタイマーを設定する必要があります。

ヒント:「max-age」を0に設定することもできます。これにより、保存されたHSTSエントリが表示されたすべてのユーザーから削除されます。これは問題がある場合に役立ちますが、ユーザーが再試行することを決定した場合にのみ影響します。


Leave a Comment

Google Chrome に常に完全な URL を表示させる方法

Google Chrome に常に完全な URL を表示させる方法

Chrome では、デフォルトでは完全な URL が表示されません。この詳細はあまり気にしないかもしれませんが、何らかの理由で完全な URL を表示する必要がある場合は、Google Chrome でアドレス バーに完全な URL を表示する方法の詳細な手順をご覧ください。

古いRedditを取り戻す方法

古いRedditを取り戻す方法

Reddit は 2024 年 1 月に再びデザインを変更しました。再デザインはデスクトップ ブラウザ ユーザーに表示され、リンクを提供しながらメイン フィードを絞り込みます。

Googleレンズを使って教科書のコンテンツをコピーする方法

Googleレンズを使って教科書のコンテンツをコピーする方法

本からお気に入りの引用を Facebook に入力するのは時間がかかり、間違いも多いです。Google レンズを使用して書籍からデバイスにテキストをコピーする方法を学びます。

ChromeでサーバーDNSアドレスが見つからない問題を修正

ChromeでサーバーDNSアドレスが見つからない問題を修正

Chrome で作業しているときに、特定の Web サイトにアクセスできず、「Fix Server DNS アドレスが Chrome で見つかりませんでした」というエラーが表示されることがあります。この問題を解決する方法は次のとおりです。

Google Homeでリマインダーを作成する方法に関するクイックガイド

Google Homeでリマインダーを作成する方法に関するクイックガイド

リマインダーは常に Google Home の大きなハイライトでした。彼らは確かに私たちの生活を楽にしてくれます。重要な用事を見逃さないように、Google Home でリマインダーを作成する方法を簡単に説明します。

Netflix: パスワードを変更する

Netflix: パスワードを変更する

好みのブラウザまたは Android アプリを使用して、Netflix ストリーミング ビデオ サービスのパスワードを変更する方法。

Chromebook で検索履歴と閲覧履歴を削除する方法

Chromebook で検索履歴と閲覧履歴を削除する方法

ブラウザの履歴を削除すると、特に共有または公開の Chromebook を使用している場合、閲覧アクティビティの機密性を保つことができます。このチュートリアルでは、個人、職場、学校の Chromebook でブラウザ履歴を削除する手順について説明します。

Googleスプレッドシートで行と列を入れ替える方法

Googleスプレッドシートで行と列を入れ替える方法

スプレッドシートを設定した後で、別のレイアウトの方がうまく機能することに気づいたことがありますか。Google スプレッドシートでは、行を列に、またはその逆に簡単に変換して、データを自由に表示できます。

最も人気のあるビデオ ゲーム ジャンル 7

最も人気のあるビデオ ゲーム ジャンル 7

誕生以来、ゲーマーが楽しめるようにさまざまなスタイルのビデオ ゲームが作成されてきました。アクション指向のもの、頭を使ってパズルを解いたり戦略を立てたいもの、またはカジュアルなゲームプレイでリラックスしたものなど、誰もが楽しくプレイできるものがそこにはあります。

Facebookメッセンジャーの通知が消えない?それを修正する8つの方法

Facebookメッセンジャーの通知が消えない?それを修正する8つの方法

Facebook Messenger の通知は、未読のメッセージをすべて読み終え​​ると消えるはずです。ただし、通知が引き続き表示され、何をしても消えない場合は、問題を解決するために適用できる解決策がいくつかあります。