这是一个专门讨论 idea 的地方。
每个人的时间,资源是有限的,有的时候你或许能够想到很多 idea,但是由于现实的限制,却并不是所有的 idea 都能够成为现实。
那这个时候,不妨可以把那些 idea 分享出来,启发别人。
每个人的时间,资源是有限的,有的时候你或许能够想到很多 idea,但是由于现实的限制,却并不是所有的 idea 都能够成为现实。
那这个时候,不妨可以把那些 idea 分享出来,启发别人。
一个想法:为什么现在有 HSTS Preload,但没有 Preload Cert?
billchenchina 2018-06-30 15:45:58 +08:00 2754 次点击这是一个创建于 2664 天前的主题,其中的信息可能已经有所发展或是发生改变。
刚才看了看关于 HSTS 的资料,突然有这么个想法:
如果说 preload 是为了防止中间人,硬编码到浏览器里的,那么为什么没有 preload 证书这种东西,能够在获取证书的时候就知道某个站点 preload (而且这样的话就可以不硬编码了)?
 | 1 xupefei 2018-06-30 16:04:29 +08:00 via Android Http 头里不就有参数干这个么 |
 | 2 isCyan 2018-06-30 16:08:27 +08:00  2 preload 证书是证书对吧 传送证书就是使用 https 协议对吧 那么用户使用 http 协议的话,你的 preload 证书根本发送不到浏览器 那么如果加上 http to https 的跳转,引导用户使用 https 攻击者就可以劫持这个跳转请求,也就是唯一的使用 http 协议的请求,阻止跳转到 https 或者干别的事情 所以没有任何用 |
 | 3 billchenchina OP |
 | 4 SingeeKing PRO 「在获取证书的时候就知道某个站点 preload 」 这不就是 HSTS 头吗。。。 |
 | 5 jsq2627 2018-06-30 21:33:09 +08:00 HPKP? |
 | 6 RqPS6rhmP3Nyn3Tm 2018-07-01 15:01:19 +08:00 via iPhone 根证书都是内置的,没啥用 |
Select Language