HSTSは実装されていますが、機能していませんか?
非常に制限されたネットワークに接続している間、ポート80でHTTP専用に構成されたSquidプロキシを介してのみインターネットにアクセスできました。
Google.comに移動すると、SSLがオンになっていない状態でサイトを受信できます。 chrome:// net-internals/hstsでgoogle.comのHSTSレコードを確認しましたが、レコードが存在します。
では、なぜサイトがまだブラウザに読み込まれ、http/80にダウングレードされているのでしょうか。これはMITM攻撃と同じです... HSTSがこれをブロックすると思いました。
プロキシはパケット全体を書き換えるため、プロキシの構成に応じて、何でも可能です。したがって、プロキシはサーバーへのssl接続を実行し、非sslWebページを提供しています。たぶん、キャッシュされたWebページだけです。あなたはグーグルでいくつかの検索をしようとしましたか? httpが残っている場合は、sseにキャッシュされていないと思われる「奇妙な」ものを検索してみてください。そうであれば、キャッシュされたWebページだけでなくsslstrippingも確認されます。
信頼できるネットワークですか?そうでない場合は、パスワードと資格情報が単純に傍受される可能性があるため、そこでWebを閲覧しないでください。
DNSと組み合わせたプロキシはHSTSをバイパスできます。それは呼ばれています sslstrip2またはsslstrip+。 this または this を見てください