特定のWebクライアントにWebサーバーからの特定のパラメーターを尊重または記憶させるにはどうすればよいですか?
HTTPSはいくつかのMITM攻撃の対象であり、それは明らかです。ただし、信頼できる既知のサイトにアクセスするときに特定のブラウザーの動作を強制する方法があれば、ITSecの群衆に役立つと思います。
MITMベクトルに関する私の(平均的な)知識に基づくと、次の設定のいずれかを強制するクライアント/ブラウザーの動作で特定のドメインを保護することが有益です。
ドメインXに接続する場合にのみHTTPSを使用する
If-Modified-Sinceヘッダーが必要です。理想的には、「サーバー」が何を言っているかに関係なく、キャッシュされたコンテンツが期限切れにならないようにしたいです。SSLのみのCookieが必要です。ブラウザがDNSドメイン名、場合によってはCookie名でSSLのみのCookieを要求する方法を探しています。
30xリダイレクトを無視します。
最終的には、推奨事項を取得してエンドユーザー向けのセキュリティガイドにフォーマットするか、セキュリティで保護されたWebサイトのリストに接続するときに、実際にすべての内部クライアントに内部的に展開したいと思います。
Chrome( http://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security )によって導入された機能であるHTTP Strict Transport Security(HSTS)は、セキュリティに向けた素晴らしい動きです。 MITMに対して。
あなたが言及する他のオプションは、多くのサイトを壊すことは確実でしょう。たとえば、セキュアフラグCookieを要求する(したがって、それを持たないCookieを無視する)と、302を無視する場合と同様に、多くのサイトが破損します。
Firefoxを使用している場合:HTTPSEverywhereをインストールします。 SSLをサポートするサイトのリストがあり、ブラウザが常にSSLで暗号化されたhttpsを介して(暗号化されていないhttpを介してではなく)それらに接続するようにします。
(セキュリティが本当に気になる場合は、NoScriptを追加することもできます。ただし、これは平均的なエンドユーザーにとっては使いにくい可能性があるため、汎用の場合はお勧めしません。)
あなたが強制したい他の行動についてはよくわかりません。私は彼らが「ウェブを壊す」かもしれないことを心配しています:彼らは多くのウェブサイトを動かないようにするかもしれません。それは問題かもしれません。関心のある多くのサイトでブラウザが機能しないことに気付いた場合、可能であれば別のブラウザに変更する(またはできない場合はIT部門を呪う)可能性が非常に高くなります。いずれにせよ、望ましさに関係なく、私はあなたが望むことをするパッケージ済みのソフトウェアを持っていません。おそらく、独自の拡張機能を構築する必要があります。