Fórum Root.cz

Hlavní témata => Server => Téma založeno: Arthnon 13. 01. 2020, 16:33:11

Název: HTTP, HTTPS a HSTS na IIS
Přispěvatel: Arthnon 13. 01. 2020, 16:33:11
Zdravím,
používám na svém webovém serveru HTTP i HTTPS (tedy porty 80 a 443). HTTP používám protože chci, aby mohl uživatel přistoupit k webu např: page.com (bez zadávání https://page.com). Uživatel je poté přesměrován na HTTPS okamžitě a webový server tedy používá HSTS.

Je toto nastavení bezpečené? (http, https a hsts). Pokud ne, jak to vyřešit bezpečně?

Děkuji
Název: Re:HTTP, HTTPS a HSTS na IIS
Přispěvatel: Miroslav Šilhavý 13. 01. 2020, 18:04:37
Částečně.

Moderní prohlížeče https zkoušejí ihned, takže tam to přesměrování není ani potřeba. Stejně tak ty prohlížeče, které se řídí HSTS jdou rovnou na https.

Pokud přesměrování realizujete, je nutné nastavit správný redirect pomocí status 308. Ten má oproti 302 výhodu, že neumožňuje změnit request method.
Název: Re:HTTP, HTTPS a HSTS na IIS
Přispěvatel: Petr Krčmář 13. 01. 2020, 18:41:37
Moderní prohlížeče https zkoušejí ihned, takže tam to přesměrování není ani potřeba.

Tohle není pravda, to prohlížeče nedělají. Výjimkou je předem naučené HSTS (nebo preload), kdy naopak prohlížeč jde přímo na HTTPS verzi na port 443 sám za všech okolností. Pokud ovšem tenhle případ pomineme, tak výchozí stav je stále ještě HTTP na portu 80.
Název: Re:HTTP, HTTPS a HSTS na IIS
Přispěvatel: Filip Jirsák 14. 01. 2020, 00:49:11
Bezpečně to vyřešit nejde – HSTS je dnes jediný široce podporovaný způsob, jak prohlížeči signalizovat, že web funguje přes HTTPS. Ale prohlížeč se o tom dozví až při prvním přístupu – to je to nebezpečné místo. Předejít tomuhle problému jde přes HSTS preload list (https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security#Preloading_Strict_Transport_Security), teda alespoň do doby, než autoři prohlížečů uznají, že nacpat všechny domény z celého internetu do jednoho souboru opravdu není dobrý nápad.
Název: Re:HTTP, HTTPS a HSTS na IIS
Přispěvatel: Filip Jirsák 14. 01. 2020, 01:03:01
Bezpečně to vyřešit nejde
Jenom upřesním – bezpečně to nemůžete vyřešit jako správce serveru s dnešními technologiemi. Pokud teda HSTS preload list nepovažujete za bezpečné řešení. Teoreticky to samozřejmě bezpečně vyřešit lze.