Безопасен ли перенаправленный запрос GET к HTTPS?
Это влияет на множество страниц с благодарностями от сторонних тележек и т. Д. Безопасны ли запросы GET к HTTP, которые перенаправляются на HTTPS? Или их можно отследить до того, как произойдет перенаправление?
Спасибо
2 ответа
Столь же безопасен, как прямой переход к HTTPS из HTTPS? Нет.
Более безопасный, чем не перенаправление? Да.
Вектор атаки при перенаправлении с HTTP на HTTPS заключается в том, что MITM может изменить перенаправление, чтобы вместо этого перенаправить пользователя на версию, отличную от HTTPS (также известную как разбор SSL или атака с понижением HTTPS). Прямой переход к HTTPS (или перенесение его со страницы HTTPS) полностью предотвратил бы это, но перенаправление пользователя со страницы, отличной от HTTPS, все еще имеет следующие преимущества безопасности:
- Пользователь уязвим для гораздо более короткого окна, возможно, только одного запроса
- Пользователи могут по-прежнему вручную проверять, используется ли HTTPS, и определять, когда перенаправление не произошло.
HSTS пытается решить эту проблему, но он все еще уязвим, если самый первый запрос, содержащий заголовок Strict-Transport-Security, выполняется по обычному HTTP.
До того, как https получил место, они являются простыми HTTP-соединениями по TCP. Да, это можно отследить, но на самом деле не легко. Возможно, в большинстве таких случаев можно использовать немного спуфинга DNS.
Наивный шлюп был трудным, у TCP есть идентификатор сеанса, который может быть не очень длинным, но препятствует таким попыткам. AFAIK в таких случаях DNS-спуфинг является жизнеспособной альтернативой.
В любом случае, это, безусловно, намного лучше, как если бы перенаправление не существовало (посетитель, неспособный ввести "https" в адресной строке, выпадал бы), а также гораздо лучше, если бы вместо перенаправления посетитель получил сайт, не имеющий шифрования.