Je hebt een klacht over de onderstaande posting:
Goede morgen, Vanmorgen volgende regel aan een apache virtualhost (ssl-enabled) config toegevoegd: Header add Strict-Transport-Security: "max-age=63072000; includeSubDomains" Er is ook voor dezelfde site een virtualhost zonder ssl enabled. Apache herstart. Eerst maar eens naar de niet-SSL site gegaan. Werkt natuurlijk prima. (ik heb expres geen rewriterule o.i.d. voor http-->https gezet, omdat ik wil zien wat de browser doet) Dan naar de ssl enabled site. Doet het ook. Middels live-http-headers zie ik dat de nieuwe header keurig wordt opgevoerd. Dan nu weer terug naar de niet-ssl site. Mijn verwachting is dat de browser nu zal protesteren, want deze heeft (als het goed is) de header van de vorige sessie onthouden. Ik zou dus op z'n minst een waarschuwing van de browser verwachten. Dat gebeurt dus niet :-( Ik wordt zonder meer doorgelaten naar de niet-ssl site. De gebruikte browser is iceweasel (firefox op debian). En ook chromium geprobeerd. Beide zelfde (teleurstellende) resultaat Mijn vragen: 1 - ...
Beschrijf je klacht (Optioneel):