HSTS ne permet pas de lutter contre un proxy transparent qui supprimerait la redirection vers le site sécurisé dans le cas où l'on a jamais accédé au site sécurisé avant (le navigateur n'ayant jamais vu le tag) ?
C'est le problème.
Idée en l'air : ne serait-il pas plus simple d'essayer par défaut une connexion https avant de faire la connexion http ?
Ça veut dire allonger le temps de connexion de 30 secondes pour tous les sites qui ne gèrent pas HTTPS, l'utilisateur va vite changer de navigateur.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Un truc que je ne comprends pas ...
Posté par claudex . En réponse à la dépêche HTTP Strict Transport Security. Évalué à 3.
C'est le problème.
Ça veut dire allonger le temps de connexion de 30 secondes pour tous les sites qui ne gèrent pas HTTPS, l'utilisateur va vite changer de navigateur.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche