Да, использовать includeSubDomains
безопаснее.
Например, злоумышленник может настроить и использовать поддомен (например, hacked.google.com) и получить к нему доступ через HTTP и использовать его для доступа или переопределения файлов cookie, установленных в домене верхнего уровня (google.com), даже если этот домен верхнего уровня является защищен HSTS. Конечно, если вы используете атрибут Secure
в своих файлах cookie, это может не быть проблемой, но это всего лишь один пример того, почему использовать includeSubDomains
.
Вы не можете установить атрибут includeSubDomains
, если все поддомены не доступны по HTTPS (очевидно). Так что, если бы у Google был blog.google.com и он все еще не обновил его до HTTPS, это могло бы объяснить, почему они не будут использовать includeSubDomains
в домене верхнего уровня.
Однако, как справедливо указывает @Horkine, Google предварительно загружает свои домены в код браузера Chrome (и этот список предварительной загрузки также используется другими браузерами), поэтому этот HTTP-заголовок не используется в современных браузерах.
Weirldy есть некоторые несоответствия между предварительно загруженной версией и версией HTTP-заголовков HTTP. Честно говоря, это очень странно. Между прочим, эти несоответствия также нарушают их собственные правила предварительной загрузки.
www.google.com
- Предварительно загруженная версия для www.google.com имеет атрибут
includeSubDomains
.
- Версия HTTP-заголовка Strict-Transport-Security не имеет атрибута
includeSubDomains
, но не имеет атрибута preload
.
google.com
- Предварительно загруженная версия для google.com имеет атрибут
includeSubDomains
- HTTP-заголовок Strict-Transport-Security не публикуется.
Почему эти несоответствия? Остается только догадываться:
Может быть, они так и не добрались до обновления своего HTTP-заголовка после завершения обновления всех своих сайтов?
Или это может быть связано с тем, что некоторые приложения обнаруживают браузер для старых браузеров (которые не включают код предварительной загрузки, но понимают заголовок HSTS) и перенаправляют старые браузеры на http://old.google.com по какой-то причине?
Или это может быть регионально?
Все это на самом деле предположение, поскольку только Google может ответить, и я не знаю никакой документации о том, что они используют на своем собственном сайте и почему.
Но, да, отвечая на последний вопрос, безопаснее включить includeSubDomains
(если возможно), и еще безопаснее предварительная загрузка (хотя и не без рисков, если вы не на 100% уверены, что используете только HTTPS).
person
Barry Pollard
schedule
30.01.2018