I reindirizzamenti HTTPS su HTTP potrebbero essere bloccati in futuro? [chiuso]

4

Diverse risposte su questo sito (ad es. 76305 ) suggeriscono che i reindirizzamenti HTTPS 30x a HTTP non sono un grande idea ma che il modello è molto diffuso.

Osservando le scelte che ha fatto il team di Chrome, è chiaro che considerano il loro ruolo proattivo nella sicurezza. È prevedibile che i browser possano iniziare a deprecare, avvisare o addirittura impedire che gli URL HTTPS vengano reindirizzati a quelli HTTP.

C'è qualche prova che questo blocco si verifichi? In caso affermativo qualsiasi indicazione circa la probabilità o il lasso di tempo?

    
posta Joe 10.10.2016 - 19:40
fonte

1 risposta

3

Un'applicazione può naturalmente perdere informazioni sensibili, come un token di sessione su un canale non sicuro utilizzando un reindirizzamento HTTP 302. Ma questo potrebbe accadere in un attacco, "hey clicca su http://authsite.com ", che può far sì che il browser invii una richiesta HTTP in chiaro.

Un'applicazione può proteggere i token di sessione utilizzando la bandiera cookie sicura , che indica al browser di non inviare la sessione token su un canale non sicuro.

Inoltre, HTTP-Strict-Transport Security (HSTS) , che costringerà il cliente a utilizzare HTTPS, anche se c'è un reindirizzamento 302 trascurato su HTTP. HSTS è stato creato in risposta all ' attacco SSLStrip .

Tutte le applicazioni web devono gestire una trasmissione non sicura, ed è un difetto comune sul lato server su Internet oggi. Nel prossimo futuro, chrome userà un icona del lucchetto rotto su webapps che perdono informazioni sensibili .

    
risposta data 10.10.2016 - 20:08
fonte

Leggi altre domande sui tag