Diskussion:HTTP Strict Transport Security

aus Wikipedia, der freien Enzyklopädie
Letzter Kommentar: vor 30 Tagen von Winof in Abschnitt Verweis zu HTTP_Public_Key_Pinning hinzufügen?
Zur Navigation springen Zur Suche springen

Verständlichkeit

[Quelltext bearbeiten]

Den Satz "(...) die Limitierungen des trust on first use-Prinzips für eine definierte Liste von Domains umgangen." finde ich so nicht wirklich allgemeinverständlich, auch da das first usw Prinzip noch ein Rotlink ist. Kann man besser erklären was damit gemeint ist? Viele Grüße, Luke081515 20:11, 3. Feb. 2019 (CET)Beantworten

Hi Luke, ich hoffe mit meiner Änderung konnte ich das first-use-Prinzip besser beschreiben. Grüße Tfr.didi (Diskussion) 22:20, 26. Mär. 2023 (CEST)Beantworten

Thema nicht mehr aktuell? Oder doch?

[Quelltext bearbeiten]

Ich stolperte gerade über den Satz "Stand 2018 war das Problem für gängige Browser nicht mehr gegeben.". Aber in 2019 dann doch wieder? Also ich kam durch diesen Beitrag aus dem Jahr 2019 https://www.reddit.com/r/firefox/comments/be9av0/sitesecurityservicestatetxt_file_keeps_storing/ auf das anscheinend kritische Thema HSTS und damit zu dieser Wikipedia-Seite.

Die angegebene Quelle bezieht sich anscheinend nur auf Online-Tracking, nicht auf den eigentlichen Sinn des Inkognito-Modus des Browsers. Zumindest kommuniziert der Firefox seinen "Privaten Modus" so, dass er keinerlei Informationen über die besuchten Seiten speichern würde. Wenn meine in wenigen Minuten zusammengetragenen Informationen nun stimmen sollten (kurze Recherche zur unbekannten Datei SiteSecurityServiceState.txt), dann kann jeder durch einen Blick in die HSTS-Historie sofort sehen, welche "gesicherten" Seiten aufgerufen wurden.

Kann das bitte noch einmal richtig recherchiert und im Artikel korrigiert werden? Der aktuelle Schlusssatz stellt da wohl nicht die wirkliche Situation dar. --92.206.134.107 12:12, 5. Feb. 2023 (CET)Beantworten

Verweis zu HTTP_Public_Key_Pinning hinzufügen?

[Quelltext bearbeiten]

Ich verwechsle die beiden immer, das Public Key Pinning wurde aber wohl aufgegeben. Wäre es okay trotzdem darauf zu verweisen, für die Verwechsler wie mich, die auf dieser Seite landen und sich fragen was denn nun aufgegeben wurde und was aktuell noch genutzt wird? --David-ri93 (Diskussion) 15:02, 1. Mär. 2024 (CET)Beantworten

Ich denke, eine Erwähnung von HTTP Public Key Pinning (HPKP) wäre eher nicht angebracht, da es mit HTTP Strict Transport Security (HSTS) nichts zu tun hat, außer dass beide vierbuchstabige Abkürzungen haben. Diese beiden Verfahren sollen unterschiedlichen Angriffsvektoren entgegenwirken, zwischen denen es keine Überschneidungen gibt. Ich befürchte daher, dass eine Erwähnung bei den meisten Lesern eher zu Verwirrung führen würde, als dass es einen enzyklopädischen Nutzen hätte. Außerdem hatte HPKP aufgrund schwerwiegender Nachteile nie eine nennenswerte Relevanz: Aus Chrome wurde es bereits 2018 wieder entfernt, Safari und Edge haben es nie unterstützt. Sein Nachfolger ist Certificate Transparency, das von allen gängigen Browsern unterstützt wird. Aber wie gesagt, das alles hat mit diesem Artikel über HSTS nichts zu tun. --Winof (Diskussion) 14:20, 11. Okt. 2024 (CEST)Beantworten