SSLストリップは攻撃方法としてまだ実行可能ですか?
SSLストリップはリダイレクトとHTTPSへのリンクをインターセプトすることで機能するので、ほとんどの(すべての)最新のブラウザーがデフォルトでHTTPSを使用するようになった今でも、これは実行可能なMITM攻撃ですか?現在のシナリオにより適した代替案はありますか?
すべてのブラウザがデフォルトでHTTPSを使用するという基本的な仮定は正しくありません。
リンクをクリックすると、リンクで指定されたプロトコルが使用されます。インターネットはHTTPリンクでいっぱいです。
アドレスバーにURLを入力すると、ブラウザは最初にプレーンなHTTPリクエストを行います。 MITMがその要求に応答できず、代わりにブラウザーにプレーンHTTPを試行させるため、HTTPSを最初に試行しても役に立たない。
そのため、はい、SSLストリップは、ブラウザだけでは解決できない非常に現実的な脅威です。それを修正するには、HSTSが必要です。