wake-up-neo.com

Ist das Umleiten von http zu https eine schlechte Idee?

Ich lese über diese Seite und besagt, dass, wenn eine Site SSL ist und der Benutzer versucht, über reguläres http darauf zuzugreifen, die Anwendung den Benutzer nicht zu https umleiten soll. Es sollte ihn einfach blockieren. Kann jemand die Gültigkeit davon überprüfen? Es klingt nicht nach einer guten Idee, und ich frage mich, wie hoch das Risiko ist, den Benutzer nur an https weiterzuleiten. Es scheint, dass es keine technischen Gründe dafür gibt, nur dass es eine gute Möglichkeit ist, den Benutzer zu erziehen. 

Deaktivieren Sie den HTTP-Zugriff auf die Domäne leiten Sie es nicht einmal weiter oder verknüpfen Sie es nicht mit SSL . Informieren Sie einfach die Benutzer, dass diese Website .__ ist. nicht über HTTP erreichbar und sie haben um über SSL darauf zuzugreifen.

Dies ist die beste Methode gegen MITM und Phising-Angriffe. Auf diese Weise Ihr Benutzer werden das erzogen werden Anwendung nie über HTTP zugänglich und wenn sie auf ein phising stoßen oder MITM-Angriff werden sie wissen Irgendwas stimmt nicht.

Eine der besten Möglichkeiten, Ihre Zu schützen. Anwendung gegen MITM-Angriffe und Phising-Angriffe erziehen dein Benutzer.

56
sami

Eine HTTP-Anforderung, die ein Sitzungs-ID-Cookie enthält, unterliegt Angriffen auf Sitzungsentführungen. Wenn Sie HTTP zulassen und zu HTTPS umleiten, ist es wichtig, dass Cookies als sicher gekennzeichnet werden.

Ich sehe keinen technischen Grund, warum HTTP vollständig blockiert werden muss, und viele Sites leiten HTTP an HTTPS weiter. In diesem Fall ist es äußerst ratsam, HTTP Strict Transport Security (HSTS) zu implementieren. Hierbei handelt es sich um einen Websicherheitsmechanismus, der besagt, dass Browser nur HTTPS-Verbindungen verwenden sollen. 

HSTS wird implementiert, indem ein Antwortheader wie Strict-Transport-Security: max-age=31536000 angegeben wird. Durch entsprechende Benutzeragenten werden aus unsicheren Links automatisch sichere Links, wodurch das Risiko von Man-in-the-Middle-Angriffen reduziert wird. Wenn darüber hinaus das Risiko besteht, dass das Zertifikat nicht sicher ist, z. Die Root-Instanz wird nicht erkannt, eine Fehlermeldung wird angezeigt und die Antwort wird nicht angezeigt.

41
cspolton

Von HTTP zu HTTPS zu wechseln, ist eigentlich keine so gute Idee. Ein Angreifer könnte beispielsweise einen Man-in-the-Middle-Angriff mit einem Tool wie ssl strip .. durchführen. Um dieses Problem zu beheben, sollten Sie das HSTS-Protokoll verwenden. Es wird von allen gängigen Browsern unterstützt (Internet Explorer, der jüngste Anwender, unterstützt es ab IE12) und wird von vielen Top-Sites (z. B. Paypal, Google) verwendet.

22
Luca Invernizzi

Ich sehe kein technisches Risiko (außer dem im Update am Ende meiner Antwort) beim Umleiten von HTTP an HTTPS. Zum Beispiel machen Google Mail und Yahoo Mail dies. Sie können dies überprüfen, indem Sie ein HTTP-Debugging-Tool (wie Fiddler) verwenden, in dem Sie die vom Server zurückgegebene Antwort auf die 302-Weiterleitung eindeutig angeben können.

Ich glaube, dass das Blockieren aus Sicht der Benutzerfreundlichkeit eine schlechte Idee ist. Oft geben Benutzer eine Adresse in den Browser ein, ohne HTTP oder HTTPS anzugeben. Beispielsweise kann ich auf gmail zugreifen, indem ich "mail.google.com" eingibt. Standardmäßig ist "http://mail.google.com" angegeben und wird automatisch zu "https://mail.google.com" umgeleitet. Ohne die automatische Weiterleitung muss ich immer die vollständige Adresse eingeben.

Ich stimme mit dem zitierten Artikel überein, dass HTTPS die beste Methode gegen MITM-Angriffe ist, aber ich stimme nicht zu, dass es die beste Methode gegen Phising ist. Die Schulung der Benutzer ist in der Tat ein entscheidender Faktor gegen Phising-Angriffe (die Benutzer müssen überprüfen, ob sie von der richtigen Domäne aus auf die Website zugreifen), aber Sie machen diese Schulung keinesfalls, indem sie die HTTP-Weiterleitung zu HTTPS blockieren.

Update @ Pedro und @Spolto sind richtig. Bei sensiblen Cookies (z. B. Sitzungs- oder Authentifizierungs-Cookies) ist besondere Vorsicht geboten, die jedoch als sicher gekennzeichnet werden sollten, damit sie nur über HTTPS übertragen werden. Ich habe das vermisst. +1 ihr beide.

5

Ich habe diese Frage gerade erst bemerkt, aber ich habe ein paar Antworten auf ähnliche Fragen geschrieben:

Ich denke nicht, dass das Umleiten von HTTP zu HTTPS schädlich ist, aber dies sollte sorgfältig erfolgen. Wichtig ist, dass Sie sich nicht darauf verlassen sollten, dass diese automatischen Weiterleitungen während der Entwicklungsphase vorhanden sind. Sie sollten höchstens für Benutzer verwendet werden, die die Adresse selbst in den Browser eingeben.

Es liegt auch in der Verantwortung des Benutzers, zu überprüfen, wann er HTTPS verwendet (und das Zertifikat ohne Warnung überprüft wird), wenn er es erwartet.

Das tatsächliche Risiko eines Wechsels von HTTP zu HTTPS besteht darin, dass Sie zuverlässig vertrauen können, was vor dem Wechsel getan wurde, wenn Sie die Sitzung beibehalten. Der Ablauf und der Prozess Ihrer Website sollte dies berücksichtigen.

Wenn Ihre Benutzer beispielsweise Ihre Einkaufsseite durchsuchen und verschiedene Artikel über HTTP in den Warenkorb legen und Sie HTTPS zum Abrufen der Zahlungsdetails verwenden möchten, sollten Sie den Benutzer auch dazu veranlassen, den Inhalt seines Warenkorbs mit HTTPS zu bestätigen.

Wenn Sie von HTTP zu HTTPS wechseln, müssen Sie möglicherweise den Benutzer erneut authentifizieren und ggf. den einfachen HTTP-Sitzungsbezeichner verwerfen. Andernfalls kann ein Angreifer dieses Cookie möglicherweise verwenden, um auch zu diesem HTTPS-Abschnitt der Website zu gelangen und sich möglicherweise als legitimer Benutzer auszugeben.

4
Bruno

Aus technischer Sicht gibt es für IMO keine Nebeneffekte, außer was HTTPS bedeutet.

Aus UX/UI-Perspektive wird empfohlen, Click-through oder verzögerte Umleitung zu verwenden, um Personen, die HTTPS-URL eingeben, an erster Stelle zu fragen, da die Umleitung selbst MITM-Angriffen ausgesetzt ist. Nicht viele HTTPS-Websites machen dies jedoch, da sie visuelle Informationen bieten, die die Benutzer auf ihren HTTPS-Seiten nach dem Schlosssymbol im Browser suchen.

3
timdream

Es ist eine absolut akzeptable "Bootstrap" -Methode - 301 leitet von HTTP zu HTTPS um und gibt dann auf der HTTPS-Seite einen Strict-Transport-Security-Header zurück, um den Browser in HTTPS zu sperren.

Das vollständige Blockieren von HTTP wäre ein großes Problem, da Webbrowser das HTTP-Protokoll versuchen, wenn eine URL ohne Protokollbezeichner eingegeben wird, es sei denn, der Browser unterstützt HSTS und ein HSTS-Token befindet sich entweder im Browser-Cache oder in der Vorladeliste .

0
William