Il MITM può cambiare il protocollo?

Contrariamente all'intuizione, il fatto che https://foo.com cambi in http://foo.com nel browser moderno significa che foo.com fa supporta https, e chiunque stia emettendo il reindirizzamento ha certificato per foo.com (e nessun certificato, uno che si fida del tuo browser). Altrimenti il server a foo.com non sarebbe in grado di istruire il tuo browser a reindirizzare, perché il comando di reindirizzamento ( Location: http://foo.com in combinazione con il corretto codice di stato) fa parte del protocollo http, che il browser non inizia a parlare al server fino a l'handshake SSL completato con successo.

La mia vecchia risposta:

Se un sito non utilizza https, è già "sniffable", quindi non importa che reindirizzi da https a http. Non c'è nulla di ulteriore da sfruttare, dal momento che è già http.

Invece, se un sito è puramente https, è lì che l'attacco MITM potrebbe trarre vantaggio dalla modifica del protocollo a http. Questo è certamente possibile, ed è per questo che quando si visita un sito che richiede o visualizza informazioni personali, è necessario verificare che il sito stia utilizzando https con un certificato valido. Se non lo è, è possibile che si verifichi un MITM e il tuo traffico sia stato compromesso.

Modifica: sono seduto qui a spaccarmi il cervello cercando di capire come la mia risposta potrebbe essere sottovalutata. Ma ora mi rendo conto di aver frainteso la domanda. (E così ha fatto Badskillz a giudicare dal suo commento). Ho pensato che la domanda fosse qualcosa del tipo: "Gli aggressori possono forzare un reindirizzamento a http su un sito che ha solo http (o reindirizzamenti da https a http)?" Quando in effetti sembra che la domanda sia, è possibile che foo.com dovrebbe effettivamente usare https, ma un attacco MITM attivo lo sta reindirizzando a http? La risposta è Sì, è possibile che un attacco MITM lo faccia. Certo, è molto più probabile che da qualche parte su foo.com ci siano pagine che usano https, e quelle pagine sono costrette a usare https, e il resto del sito è costretto a usare http- quindi il reindirizzamento. Se sei sul tuo sito bancario e vedi un reindirizzamento a http, sarei molto più propenso a pensare che ciò potrebbe essere causato da un attacco MITM.

Lascio la mia risposta precedente perché è ancora informazioni accurate.

No, non c'è niente di sbagliato in questo.

Molti siti web funzionano in questo modo perché sanno che i loro visitatori si dimenticano facilmente di scrivere https:// poiché non conoscono nemmeno la differenza tra HTTP e HTTPS. Questo è l'unico scopo del comportamento che hai descritto: per non perdere il loro pubblico, molti siti Web scelgono di comportarsi in questo modo.

Il server Apache è il più diffuso come questo studio di Netcraft cita :

Basandocisuquesto,possiamocitareunodeimetodipiùcomuniusatiinApacheperavereilrisultatochehaidescrittosfruttandoilsuomod_rewrite utilizzato per riscrivere le regole richieste URL che, se abilitate, consentono di raggiungere tale obiettivo aggiungendo httpd.conf file queste righe:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} 

Sì, possono. Quando vedono un tentativo di stabilire una connessione TLS con un server, possono intercettarlo e rispondere con un falso messaggio di errore che indica che il server non supporta TLS. Questa tecnica è nota come SSL stripping .