Neni ... je naopak cim dal horsi. Jestli chces nekomu rozbit firefox, posli mu hsts header ... a uz se na http verzi webu nepodiva. Jasne, da se to smazat, ale je to zasity hruboku v utrobach, a pri specifickym nastaveni tam ta volba prosychr neni vubec. A ze by ses moh z brovseru podivat, co vsechno ma vlastne ulozeno, na to zapomen uplne ...
Jinak je to soukromi, nesmis mit nastaveno vlastni, pak je tam odkaz smazat historii (pri vlastnim nastaveni neni) a to co potrebujes smazat je "nastaveni pro dany server" ...
HSTS podporuje hromada prohlížečů a nevšiml jsem si výraznějších odlišností v implementaci.
Možnost to smazat – kdyby na to bylo GUI, tak BFU stejně nebude vědět, co to je, a pokročilejšímu uživateli zase troška Googlení a práce se SQLite nebude dělat problém… Přecejen to není věc, kterou je potřeba dělat denně. Já to potřeboval jen jednou – po svém ručním zásahu do této tabulky.
Geniální vektor útoku – tak leda na svoji vlastní stránku. Což mi už až tak geniální nepřijde, v pozici insidera mám obvykle zajímavější možnosti sabotáže. Navíc to jde vrátit zpět, když pošlu HSTS s krátkou (nulovou?) dobou trvání. V obou případech to pošlu leda přes platné HTTPS spojení (jen pokud uživatel neodklepával výjimku), jinak se to ignoruje.