Ebben vagyok szkeptikus. Nagyon sok pontos es nagyon celzott es nagyon gyorsan szervezett tamadast tudok csak elkepzelni ennek a hianya miatt celbaerni. De mondhatsz peldat, ami ennek nem felel meg.
Nem kell ehhez annyira nagy dolog. A HSTS alapvetően man-in-the middle és spoofing elleni védelem, szóval nyilván nem ezen keresztül lehet elkapni mindenkit is egyszerre, viszont klienseknek pl dnsben hazudni azért messze nem olyan nehéz jelenleg (összehasonlítva mondjuk egy valid TLS cert kerítésével). Aminek egyenes következménye, hogy a httpn azt szolgál ki, amit akar, nem lesz villogó piros anyámkínja, és a jó domain lesz a browser barban.
És pont abban az esetben, amikor még a userek jelentős részének nem ismerős a mi vár rájuk, és jön a sok új user, akkor pont emelkedik a kockázat.
De nyilván, a HSTS nem véd minden ellen. Ellenben arra még mindig nem hallottunk akár csak egy épképzláb indokot is, hogy miért ér egy darabig ignorálni, és miért csak hetek-hónapok múlva lesz ciki. Szóval most akkor már te jössz. (Olyan példa is jó lesz, ahol a valami elbaszásnak az a jó megoldása, hogy akkor egy kicsit menjen http-n)