Como sé, HSTS se implementa principalmente para mitigar el famoso ataque sslstrip en el que el navegador se ve obligado a usar ssl al conectarse a un sitio en particular. Y creo que también impide que el usuario proceda al sitio si hay un problema con el certificado ssl que proporciona el sitio. ¿Hay algo más que saber sobre HSTS?
También leo información en su mayoría superficial sobre HSTS y que puede ser derrotado. Es posible ? (Excepto la forma obvia de interceptar antes de que el usuario se conecte por primera vez y bloquee el encabezado hsts)
¿Qué navegadores soportan hsts? ¿Se pueden borrar los datos de Hsts como borrar el historial del navegador y las cookies?