我正在运行 Chrome 103.0.5060.66,并且有意中间人攻击我自己Fiddler 代理,并且它适用于不使用高速传输系统,但在 HSTS 网站上却无法使用。我该如何告诉 Chrome 忽略 HSTS?使用 HSTS 的网站示例:https://www.century21.pt/- 未使用 HSTS 的网站示例:https://example.org- 相关问题:如何在 Firefox 上忽略 HSTS?
答案1
每RFC 6797,具有兼容实现的浏览器高速传输系统不得允许禁用或绕过该功能。第 12.1 节“无用户追索权”涵盖以下主题:
12.1. 无用户追索权
如果出现任何警告或错误
(根据第 8.4 节(“安全传输建立中的错误”)),则安全连接建立失败应“不向用户提供任何补救措施”。这意味着不应向用户显示对话框,让用户选择是否继续。相反,应将其视为服务器错误,
用户除了等待并重试外,无法再与目标 Web 应用程序进行交互
。本质上,“任何警告或错误”是指任何会导致 UA 实现向用户宣布连接建立不完全正确的情况。
如果不这样做,即允许用户采取诸如“点击
警告/错误对话框”之类的补救措施,则很容易遭受中间人
攻击。如果 Web 应用程序发布 HSTS 策略,则它
隐式地选择了“无用户补救”方法,即所有
证书错误或警告都会导致连接终止,没有
机会“欺骗”用户做出错误的决定并
损害自己的利益。
当然,现在没有要求浏览器开发人员完全遵守 RFC 规范,例如Ramhound 链接中的“插页式绕过关键字”,但正如该链接中的一些用户指出的那样,实施可能不可靠,并且可能会在未经通知的情况下发生变化。