reklama

HTTP, HTTPS a HSTS na IIS

HTTP, HTTPS a HSTS na IIS
« kdy: 13. 01. 2020, 16:33:11 »
Zdravím,
používám na svém webovém serveru HTTP i HTTPS (tedy porty 80 a 443). HTTP používám protože chci, aby mohl uživatel přistoupit k webu např: page.com (bez zadávání https://page.com). Uživatel je poté přesměrován na HTTPS okamžitě a webový server tedy používá HSTS.

Je toto nastavení bezpečené? (http, https a hsts). Pokud ne, jak to vyřešit bezpečně?

Děkuji

reklama


Re:HTTP, HTTPS a HSTS na IIS
« Odpověď #1 kdy: 13. 01. 2020, 18:04:37 »
Částečně.

Moderní prohlížeče https zkoušejí ihned, takže tam to přesměrování není ani potřeba. Stejně tak ty prohlížeče, které se řídí HSTS jdou rovnou na https.

Pokud přesměrování realizujete, je nutné nastavit správný redirect pomocí status 308. Ten má oproti 302 výhodu, že neumožňuje změnit request method.

Re:HTTP, HTTPS a HSTS na IIS
« Odpověď #2 kdy: 13. 01. 2020, 18:41:37 »
Moderní prohlížeče https zkoušejí ihned, takže tam to přesměrování není ani potřeba.

Tohle není pravda, to prohlížeče nedělají. Výjimkou je předem naučené HSTS (nebo preload), kdy naopak prohlížeč jde přímo na HTTPS verzi na port 443 sám za všech okolností. Pokud ovšem tenhle případ pomineme, tak výchozí stav je stále ještě HTTP na portu 80.

Re:HTTP, HTTPS a HSTS na IIS
« Odpověď #3 kdy: 14. 01. 2020, 00:49:11 »
Bezpečně to vyřešit nejde – HSTS je dnes jediný široce podporovaný způsob, jak prohlížeči signalizovat, že web funguje přes HTTPS. Ale prohlížeč se o tom dozví až při prvním přístupu – to je to nebezpečné místo. Předejít tomuhle problému jde přes HSTS preload list, teda alespoň do doby, než autoři prohlížečů uznají, že nacpat všechny domény z celého internetu do jednoho souboru opravdu není dobrý nápad.

Re:HTTP, HTTPS a HSTS na IIS
« Odpověď #4 kdy: 14. 01. 2020, 01:03:01 »
Bezpečně to vyřešit nejde
Jenom upřesním – bezpečně to nemůžete vyřešit jako správce serveru s dnešními technologiemi. Pokud teda HSTS preload list nepovažujete za bezpečné řešení. Teoreticky to samozřejmě bezpečně vyřešit lze.

reklama


 

reklama