Безопасен ли перенаправленный запрос GET к HTTPS?

Это влияет на множество страниц с благодарностями от сторонних тележек и т. Д. Безопасны ли запросы GET к HTTP, которые перенаправляются на HTTPS? Или их можно отследить до того, как произойдет перенаправление?

Спасибо

2 ответа

Решение

Столь же безопасен, как прямой переход к HTTPS из HTTPS? Нет.

Более безопасный, чем не перенаправление? Да.

Вектор атаки при перенаправлении с HTTP на HTTPS заключается в том, что MITM может изменить перенаправление, чтобы вместо этого перенаправить пользователя на версию, отличную от HTTPS (также известную как разбор SSL или атака с понижением HTTPS). Прямой переход к HTTPS (или перенесение его со страницы HTTPS) полностью предотвратил бы это, но перенаправление пользователя со страницы, отличной от HTTPS, все еще имеет следующие преимущества безопасности:

  • Пользователь уязвим для гораздо более короткого окна, возможно, только одного запроса
  • Пользователи могут по-прежнему вручную проверять, используется ли HTTPS, и определять, когда перенаправление не произошло.

HSTS пытается решить эту проблему, но он все еще уязвим, если самый первый запрос, содержащий заголовок Strict-Transport-Security, выполняется по обычному HTTP.

До того, как https получил место, они являются простыми HTTP-соединениями по TCP. Да, это можно отследить, но на самом деле не легко. Возможно, в большинстве таких случаев можно использовать немного спуфинга DNS.

Наивный шлюп был трудным, у TCP есть идентификатор сеанса, который может быть не очень длинным, но препятствует таким попыткам. AFAIK в таких случаях DNS-спуфинг является жизнеспособной альтернативой.

В любом случае, это, безусловно, намного лучше, как если бы перенаправление не существовало (посетитель, неспособный ввести "https" в адресной строке, выпадал бы), а также гораздо лучше, если бы вместо перенаправления посетитель получил сайт, не имеющий шифрования.

Другие вопросы по тегам