勉強前イメージ
HIS的な・・・いやわからん。。。結構略語って3文字多いよね??
調査
HSTS とは
HTTP Strict Transport Security の略で、webブラウザに対してhttpsでの通信を強制するものになります。
RFC 6797で標準化されています。
webサーバとブラウザでの最初の通信の際に応答のところでヘッダ内に Strict-Transport-Security
という項目を定義することで
次回からの通信はhttpsで行うというものになります。
HSTSを行うことで中間者攻撃を防ぐことができると言われています。
中間者攻撃 とは
MITM攻撃 とも呼ばれ、Man-In-The-Middle attackの略になりますが
通信を行う二者間の間に割り込んで両者が送受信する情報を自分のものとすり替えることによって
盗聴したり通信に介入したりする攻撃手法になります。
中間者攻撃の手法としてはhttpの通信など暗号化されていない通信は平文でのぞけるため攻撃を受けやすいという特徴を持っています。
その他、セキュリティ対策が十分に行われていないネットワーク機器は攻撃を受けやすい状態になっています。
その為、HSTS(httpsでの通信を強制すること)を行い、暗号化をすることで中間者攻撃を防ぐことができます。
勉強後イメージ
httpsを強制することできるって知らなかった・・・