Vantaggio di sicurezza dei browser che riscrivono automaticamente da HTTP a HTTPS? [duplicare]

Naviga le tue risposte
16

Uso spesso un WiFi ospite che fa la solita intercettazione; tenta di navigare verso qualsiasi sito Web HTTP e ti reindirizza alla pagina "Accetto i nostri ToS", dopo di che consentirà il traffico dal tuo indirizzo MAC nel modo normale.

Solitamente scelgo qualsiasi pagina web e clicco su ricarica, ma a questo WiFi non piace https:// . La query deve essere http:// .

OK, quindi vado nella barra degli indirizzi ed elimina "s" da HTTPS, e premo "vai". PER ESEMPIO. http://www.amazon.com/usual-Amazon-URL-here

E poi il mio browser locale rimette la "s" indietro . Effettua la query sulla porta 443, che blocca il guest WiFi. Deve essere il browser locale a farlo, dal momento che non ha letteralmente Internet. Posso garantire che ciò avvenga sul browser Silk di Amazon, Firefox su Android e Credo Safari / iOS.

Si tratta di una norma dei client del browser Web per forzare l'HTTPS ogni volta che il browser sa che il sito supporta HTTPS? Di quale minaccia si difende?

    
posta Harper 12.05.2018 - 03:44
fonte

2 risposte

33

Ti suggerisco di esaminare NeverSSL , un sito semplice che verrà sempre pubblicato su un semplice HTTP.

Se sei sicuro che sia il tuo browser a farlo e non un reindirizzamento sul lato server, è probabilmente il risultato di una funzione di sicurezza chiamata HTTP Strict Transport Security (HSTS) . Quando un sito Web desidera solo servire su una connessione crittografata, imposta un'intestazione HTTP che indica al browser di connettersi sempre e solo su TLS. Alcuni siti potrebbero anche utilizzare il preloading HSTS , dove la politica di reindirizzamento è codificata per impostazione predefinita nei browser, piuttosto che essere impostata tramite un'intestazione HTTP sulla rete . Gli HST di tutti i tipi sono progettati per sconfiggere gli attacchi MITM che sfruttano il fatto che il tuo browser sarebbe perfettamente felice di rimanere su la versione non crittografata di un sito, anche se HTTPS è disponibile. Secondo Intestazioni di sicurezza , Amazon utilizza HSTS. Questo spiega perché sei stato reindirizzato.

    
risposta data 12.05.2018 - 04:56
fonte
7

In alcuni browser è possibile verificare utilizzando gli strumenti di debugger che il browser sta riscrivendo da http: // a https: // a causa dell'HSTS. Ad esempio, in Google Chrome:

  1. premi F12 per aprire gli strumenti del debugger e vai alla scheda Rete
  2. vai al link nella barra degli indirizzi
  3. la scheda Rete si riempirà rapidamente con un elenco di tutti gli URL richiesti; scorri verso l'alto

La prima richiesta sarà per link . Quando seleziono quella richiesta, nella casella a destra vedo queste righe (tra le altre): 

Request URL: http://www.amazon.com/  
Status Code: 307 Internal Redirect  
Location: https://www.amazon.com/  
Non-Authoritative-Reason: HSTS
    
risposta data 12.05.2018 - 16:11
fonte

Leggi altre domande sui tag

La convalida del certificato è stata eseguita completamente in locale? Una macchina virtuale guest può essere compromessa da un virus sul computer host?