In che modo Webserver informa i browser della funzionalità https?

3

In che modo webserver informa i browser della funzionalità https?

  • se digitiamo in microsoft.com (che è una richiesta http di default) firefox recupera / il server serve la seguente pagina https: // www.microsoft.com/en-in/. La richiesta originale è in http.

  • vediamo una richiesta di richiesta HTTP per http: //microsoft.com/ con Upgrade-Insecure-Requests: 1 flag (la disponibilità dei client ad accedere a una connessione protetta)

  • in seguito vediamo un http 301 spostato in modo permanente. questo pacchetto contiene il campo posizione come http: // www.microsoft.com /

  • successivamente vediamo il client iniziare un handshake TLS per avviare la sessione https e alla fine ottenere la pagina https

  1. dovepossiamovedereilservercheinformailclientdellafunzionalitàhttpsoilreindirizzamentoperlaportahttps443?

  2. possiamosopprimereilflagUpgrade-Insecure-Requestsinmododaottenereunarispostahttp?(supponendocheilservernoneseguaautomaticamenteilreindirizzamentoahttps)

allegatoèunwirehark cattura . filtrare usando il seguente

(http contains microsoft) or (ssl contains microsoft) 
    
posta Curi0usM3 24.01.2017 - 20:41
fonte

1 risposta

5

In questo caso, è una serie piuttosto semplice di reindirizzamenti HTTP:

┌─[jamesph@ilmr] - [~] - [Tue Jan 24, 11:45]
└─[$]> http --head 'http://microsoft.com'
HTTP/1.1 301 Moved Permanently
Content-Length: 148
Content-Type: text/html; charset=UTF-8
Date: Tue, 24 Jan 2017 19:45:48 GMT
Location: http://www.microsoft.com/
Server: Microsoft-IIS/8.5
X-Powered-By: ASP.NET

┌─[jamesph@ilmr] - [~] - [Tue Jan 24, 11:45]
└─[$]> http --head 'http://www.microsoft.com'
HTTP/1.1 302 Moved Temporarily
Connection: keep-alive
Content-Length: 0
Date: Tue, 24 Jan 2017 19:45:56 GMT
Location: http://www.microsoft.com/en-us/
Server: AkamaiGHost
X-CCC: US
X-CID: 2

┌─[jamesph@ilmr] - [~] - [Tue Jan 24, 11:45]
└─[$]> http --head 'http://www.microsoft.com/en-us/'
HTTP/1.1 301 Moved Permanently
Connection: keep-alive
Content-Length: 0
Date: Tue, 24 Jan 2017 19:46:03 GMT
Location: https://www.microsoft.com/en-us/
Server: AkamaiGHost
Set-Cookie: akacd_OneRF=1493063163~rv=66~id=28df10e9d3a3627dfc38acff7feb884a; path=/; Expires=Mon, 24 Apr 2017 19:46:03 GMT
X-CCC: US
X-CID: 2

(Sto usando il link , un'utilità che è come una versione migliorata di curl per l'uso cli.)

http://microsoft.com 301 reindirizza a http://www.microsoft.com , che 302 reindirizza a http://www.microsoft.com/en-us/ , che 301 reindirizza a https://www.microsoft.com/en-us/ .

In generale, i reindirizzamenti HTTP sono il numero di siti Web che richiamano gli utenti su https. Strumenti come sslstrip possono talvolta sventare questi tentativi, poiché la connessione iniziale può essere MitMed perché non è protetta da TLS, motivo per cui i siti stanno sempre più iniziando a utilizzare le intestazioni HSTS , a quel punto il browser memorizza le informazioni a cui il sito deve accedere tramite https e invia la richiesta lì dall'inizio (piuttosto che assumere http quando il protocollo non è dato).

    
risposta data 24.01.2017 - 20:52
fonte

Leggi altre domande sui tag