Hallo Matthias,

HSTS:

Ein Nachteil des HSTS-Verfahrens besteht in der Nachverfolgbarkeit des Nutzerverhaltens. Da es beim HSTS-Entwurf als umständlich galt, wenn ein Browser bei jedem Aufruf eine Umleitung durchläuft, wurde eine Richtlinie (englisch policy) implementiert, die sich an besuchte Seiten erinnert. Dies entspricht einem HTTPS-Super-Cookie, den jede Webseite lesen kann – auch im „Inkognito“- oder „Private“-Modus. Im Zuge der Enthüllungen von Edward Snowden wurde bekannt, dass Geheimdienste Cookies systematisch missbrauchten, um Spionagesoftware zielgerichtet auf Rechnern zu platzieren, um diese fernzusteuern. In Chrome, Firefox, Opera und Internet Explorer kann der Nutzer die Liste der besuchten Seiten mit aktiviertem HSTS leeren, in Apples Safari-Browser jedoch nicht.

Da geht es hauptsächlich um eine Tracking-Methode, wie man User als Betreiber tracken kann. Ein richtiger Cookie wird hier nicht gesetzt. Das Verfahren hat Heise beschrieben. Es ist also nicht etwas, was wir auslösen (ausser wir möchten das explizit) sondern etwas, was etwa Ad-Netzwerke (oder die NSA) praktizieren könnten um die Nutzer besser zu tracken. Wenn wir das für unsere Domains aktivieren ist das nicht die Gefahrenquelle.

Die Weiterleitung würde ich begrüßen, einen Ausschluss von WindowsXP nicht, ich bin zum Beispiel noch auf XP angewiesen.

Es geht "nur" um den IE.

LG,
CK