Включить HSTS поджатие в bitcointalk.org домене, чтобы избежать MITM атаки

В настоящее время bitcointalk.org домен посылает этот заголовок
Строгий-Transport-Security: макс возраст = 3000000

Этот заголовок также известен как HSTS, он говорит браузеру подключить только с помощью HTTPS в течение следующих 34 дней.

Проблема возникает, когда клиент посещает bitcointalk.org впервые (или в режиме инкогнито, или удалил кэш и т.д.) браузер не знает, что должно использовать HTTPS, чтобы перейти к bitcointalk.org так, когда пользователю домен в своем браузере он будет подключаться к http://bitcointalk.org вместо https://bitcointalk.org. Если сеть подвергается нападению, он будет загружать вредоносные программы, а не программного обеспечения Bitcoin.

Как это исправить:
Добавьте IncludeSubdomains и директиву предварительной нагрузки к заголовку посланного.
Строгий-Transport-Security: макс возраст = 31536000; IncludeSubdomains; предварительная нагрузка

Тогда просто представить bitcointalk.org домен в список HSTS натяг в Chrome, Firefox и IE. Это можно легко сделать, просто нажав на эту ссылку:
https://hstspreload.appspot.com/?domain=bitcointalk.org

После представления следующих выпусков браузеров будут включать в себя bitcoin.org в списке HSTS натяга, и никто не мог загрузить bitcointalk.org через HTTP снова.

В качестве примера, Bitcoin связанных сайтов, уже использующих HSTS предзагрузки включают Coinbase, Coinapult, Bitgo, Localbitcoins, bitcoin.de, blockchain.info, GDAX и многоразрядный.

18 августа 2016, 11:25:28 AM	# 1
RME Сообщения: 728 Цитировать по имени цитировать ответ	Re: Включение HSTS поджатия в bitcointalk.org домена, чтобы избежать MITM атаки Взлом Биткоин адресов. 500 Биткоинов взломаны в "мозговом кошельке" с паролем "bitcoin is awesome" Адрес кошелька: 14NWDXkQwcGN1Pd9fboL8npVynD5SfyJAE Приватный ключ: 5J64pq77XjeacCezwmAr2V1s7snvvJkuAz8sENxw7xCkikceV6e подробнее... Всем кто хочет заработать Биткоины без вложений - рекомендую сайт http://bitcoin-zarabotat.ru В настоящее время bitcointalk.org домен посылает этот заголовок Строгий-Transport-Security: макс возраст = 3000000 Этот заголовок также известен как HSTS, он говорит браузеру подключить только с помощью HTTPS в течение следующих 34 дней. Проблема возникает, когда клиент посещает bitcointalk.org впервые (или в режиме инкогнито, или удалил кэш и т.д.) браузер не знает, что должно использовать HTTPS, чтобы перейти к bitcointalk.org так, когда пользователю домен в своем браузере он будет подключаться к http://bitcointalk.org вместо https://bitcointalk.org. Если сеть подвергается нападению, он будет загружать вредоносные программы, а не программного обеспечения Bitcoin. Как это исправить: Добавьте IncludeSubdomains и директиву предварительной нагрузки к заголовку посланного. Строгий-Transport-Security: макс возраст = 31536000; IncludeSubdomains; предварительная нагрузка Тогда просто представить bitcointalk.org домен в список HSTS натяг в Chrome, Firefox и IE. Это можно легко сделать, просто нажав на эту ссылку: https://hstspreload.appspot.com/?domain=bitcointalk.org После представления следующих выпусков браузеров будут включать в себя bitcoin.org в списке HSTS натяга, и никто не мог загрузить bitcointalk.org через HTTP снова. В качестве примера, Bitcoin связанных сайтов, уже использующих HSTS предзагрузки включают Coinbase, Coinapult, Bitgo, Localbitcoins, bitcoin.de, blockchain.info, GDAX и многоразрядный.

22 августа 2016, 5:52:22 AM	# 2
RME Сообщения: 728 Цитировать по имени цитировать ответ	Re: Включение HSTS поджатия в bitcointalk.org домена, чтобы избежать MITM атаки Получил 1806 Биткоинов Реальная история. @theymos

22 августа 2016, 8:42:17 PM	# 3
Fragbait Сообщения: 174 Цитировать по имени цитировать ответ	Re: Включение HSTS поджатия в bitcointalk.org домена, чтобы избежать MITM атаки Цитата: RME от 18 августа 2016 года, 11:25:28 AM После представления следующих выпусков браузеров будут включать в себя bitcoin.org в списке HSTS натяга, и никто не мог загрузить bitcointalk.org через HTTP снова. Почему не просто отключить HTTP конечных точек с сервера?

Заголовок