HSTSを、Firefoxで採用

HSTS:HTTP Strict Transport Security採用したFirefox 4β5が、公開されました(Mizilla Blog)。

HSTSは、IETFで検討中のセキュリティ向上のためのポリシーで、IETFのドラフトが公開されています。
WEBサーバーは、HTTPレスポンスのヘッダー にUA(ブラウザ)が適用すべきHSTSポリシーを記述し、 UAは指定されたポリシーに従って、HTTPのURIを強制的にHTTPSに変更する仕様です。
ポリシーには、HTTSの利用を強制する範囲にサブドメインを含むか否か、HTTSを強制する期間などが指定可能なようです。
コンテンツのURIがHTTPになっていても、強制的にHTTPSに変更されるので、穴があっても自動的にHTTPSで保護してくれるので安心です。
しかし、WEBサーバー側で、HTTPSを強制する期間や範囲などを明確に指定してあげる必要があるやっかいなセキュリティ強化手段です。
Firefox 4β5ではデフォルトでHSTSがONになっているとMozillaのBlogに記載されていますので、サーバー側さえ対処すれば使えるようないなるようです。





最近のブログ記事

SORACOM,HLR持ちeSIM対応
SORACOMが自前のHLRを持ち、自…
準天頂衛星4機体制に
h2{ font-size:12…
Windows 10 mobile終了
Windows 10 mobileの新機…
カスタム検索

月別 アーカイブ