14.5. Отказ обслуживания
HSTS может использоваться для формирования определенных форм атак отказа обслуживания (DoS) против web-сайтов. DoS-атакой является такая атака, когда один или более сетевых объектов-мишеней не могут выполнять полезную работу. Смотри также [RFC-4732].
Web-приложения доступные через HTTP
Имеется возможность для осуществления DoS-атак с web-приложениями (или критической частью их), которые доступны только через HTTP через небезопасный канал, если атакер может вынудить агента пользователя установить политику HSTS для компьютера такого web-приложения.
Это происходит потому, что раз политика HSTS установлена для машины web-приложения в агенте пользователя, агент пользователя будет использовать только безопасный канал для взаимодействия с этим компьютером. Если машина не использует безопасный канал или не использует его для критической доли своих web-приложений, тогда web-приложение будет считаться не реализуемым для агента пользователя.
Политика HSTS может быть определена для машины-жертвы различными способами:
Если web-приложение содержит уязвимость расщепления HTTP-отклика [CWE-113] (которое может быть использовано, чтобы реализовать "HTTP header injection").
Если атакер может фальсифицировать переадресацию с небезопасного сайта жертвы, напр., <http://example.com/> на <http://example.com/>, где последний сайт полностью контролируется атакером и имеет корректный сертификат. В этой ситуации, атакер может установить политику HSTS для example.com, а также для всех доменов example.com.
Если атакер может убедить пользователей вручную сконфигурировать политику HSTS для машины-жертвы. Это предполагает, что агенты пользователя предлагают такую возможность (смотри раздел 12 ("User Agent Implementation Advice")). Напротив, если конфигурация агента пользователя реализуется с привлечением скрипта, тогда атакер может вынудить агента пользователя исполнить скрипт и установить HSTS-политики для каких угодно доменов.
Непреднамеренное (некорректное) использование includeSubDomains
Директива includeSubDomains инструктирует агента пользователя связать автоматически все субдомены данного HSTS-компьютера в качестве известных HSTS-компьютеров. Если какие-то из этих субдоменов не поддерживают корректно сконфигурированные безопасные каналы, тогда для таких агентов пользователя они объявляются недостижимыми.