Secondo la mia esperienza di navigazione sul Web, molti siti web foo.com non supportano https. Quando vado al link , cambia semplicemente in foo.com
Gli attaccanti possono falsificare il fatto che foo.com non supporti https e usi invece http?
Contrariamente all'intuizione, il fatto che https://foo.com
cambi in http://foo.com
nel browser moderno significa che foo.com fa supporta https, e chiunque stia emettendo il reindirizzamento ha certificato per foo.com
(e nessun certificato, uno che si fida del tuo browser). Altrimenti il server a foo.com
non sarebbe in grado di istruire il tuo browser a reindirizzare, perché il comando di reindirizzamento ( Location: http://foo.com
in combinazione con il corretto codice di stato) fa parte del protocollo http, che il browser non inizia a parlare al server fino a l'handshake SSL completato con successo.
La mia vecchia risposta:
Se un sito non utilizza https, è già "sniffable", quindi non importa che reindirizzi da https a http. Non c'è nulla di ulteriore da sfruttare, dal momento che è già http.
Invece, se un sito è puramente https, è lì che l'attacco MITM potrebbe trarre vantaggio dalla modifica del protocollo a http. Questo è certamente possibile, ed è per questo che quando si visita un sito che richiede o visualizza informazioni personali, è necessario verificare che il sito stia utilizzando https con un certificato valido. Se non lo è, è possibile che si verifichi un MITM e il tuo traffico sia stato compromesso.
Modifica: sono seduto qui a spaccarmi il cervello cercando di capire come la mia risposta potrebbe essere sottovalutata. Ma ora mi rendo conto di aver frainteso la domanda. (E così ha fatto Badskillz a giudicare dal suo commento). Ho pensato che la domanda fosse qualcosa del tipo: "Gli aggressori possono forzare un reindirizzamento a http su un sito che ha solo http (o reindirizzamenti da https a http)?" Quando in effetti sembra che la domanda sia, è possibile che foo.com dovrebbe effettivamente usare https, ma un attacco MITM attivo lo sta reindirizzando a http? La risposta è Sì, è possibile che un attacco MITM lo faccia. Certo, è molto più probabile che da qualche parte su foo.com ci siano pagine che usano https, e quelle pagine sono costrette a usare https, e il resto del sito è costretto a usare http- quindi il reindirizzamento. Se sei sul tuo sito bancario e vedi un reindirizzamento a http, sarei molto più propenso a pensare che ciò potrebbe essere causato da un attacco MITM.
Lascio la mia risposta precedente perché è ancora informazioni accurate.
No, non c'è niente di sbagliato in questo.
Molti siti web funzionano in questo modo perché sanno che i loro visitatori si dimenticano facilmente di scrivere https://
poiché non conoscono nemmeno la differenza tra HTTP e HTTPS. Questo è l'unico scopo del comportamento che hai descritto: per non perdere il loro pubblico, molti siti Web scelgono di comportarsi in questo modo.
Il server Apache è il più diffuso come questo studio di Netcraft cita :
Basandocisuquesto,possiamocitareunodeimetodipiùcomuniusatiinApacheperavereilrisultatochehaidescrittosfruttandoilsuohttpd.conf
file queste righe:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
Sì, possono. Quando vedono un tentativo di stabilire una connessione TLS con un server, possono intercettarlo e rispondere con un falso messaggio di errore che indica che il server non supporta TLS. Questa tecnica è nota come SSL stripping .
Leggi altre domande sui tag tls man-in-the-middle