Wird Strict-Transport-Sicherheit (HSTS) von libcurl unterstützt?

Question

AFAIK HSTS ist eine serverseitige Eigenschaft, die dem Browser mitteilt, dass er nur mit https-Anfrage mit diesem Server funktionieren soll (korrigiert mich bitte, wenn ich falsch liege).

HSTS wird nicht in Fällen der Umleitung von http zu https helfen, in diesem Zeitrahmen der Umleitung MIM-Angriff kann passieren, es sei denn, Sie Website in der Browser-HSTS-Liste aufgeführt.

Wenn ich einen Server habe, der nur Anfragen von libcurl bekommt, muss ich HSTS unterstützen? Wird es eine Bedeutung haben? Unterstützt libcurl auch HSTS und funktioniert nur mit https-Sites, nachdem dieser Parameter vom Server empfangen wurde?

Answer 1

AFAIK HSTS eine Eigenschaft Server-Seite ist, der den Browser anweist, die nur funktionieren sollte mit https mit diesem Server anfordern (bitte korrigieren Sie mich, wenn ich falsch liege).

Richtig.

HSTS wird nicht in Fällen der Umleitung von http zu https helfen, in diesem Zeitrahmen der Umleitung MIM-Angriff kann passieren, es sei denn, Sie Website in der Browser-HSTS-Liste aufgeführt.

Wenn ein Benutzeragent HSTS nicht versteht, wird es überhaupt nicht helfen. Darüber hinaus ist HSTS eine "Vertrauen bei der ersten Verwendung" -Funktion. Das bedeutet, wenn der Benutzeragent keinen HSTS-Eintrag für eine Domäne hat und auf eine Umleitung zu HTTPS angewiesen ist, hat der Benutzeragent keine andere Wahl, als dem zu vertrauen. Das HSTS-Preloading soll dieses Problem beheben, bei dem eine Domäne immer als "Ja" für HSTS festgelegt wird.

Wenn ich einen Server habe, der nur Anfragen von libcurl bekommt, muss ich HSTS unterstützen? Wird es eine Bedeutung haben? Unterstützt libcurl auch HSTS und funktioniert nur mit https-Sites, nachdem dieser Parameter vom Server empfangen wurde?

Die Verwendung von libcurl allein mit HSTS hat keinen direkten Nutzen. libcurl speichert keine bekannten HSTS-Hosts. Ein Entwickler, der libcurl verwendet, könnte HSTS über libcurl entwickeln, aber libcurl macht das heute nicht alleine.