Forza https senza 301

3

Per il mio sito web .htaccess attualmente ho:

RewriteCond %{HTTPS} !=on
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

In modo che quando qualcuno visita la pagina su http ottenga un 301 e poi si connetta su SSL / TLS. Tuttavia, questo apre gli utenti fino agli attacchi MITM tramite sslstrip. Ho notato che se vado a link nel mio registro di rete la richiesta viene modificata in link prima che una risposta ritorni, prevenendo un attacco MITM. Mi stavo chiedendo come questo è stato realizzato in modo da poter forzare SSL / TLS meglio.

Grazie

    
posta winhowes 10.06.2015 - 14:47
fonte

1 risposta

3

Facebook lo ottiene con una politica di sicurezza del traffico HTTP (HSTS) .

Viene fornito su HTTPS e informa il browser di "riscrivere" automaticamente le richieste HTTP su HTTPS per quel dominio. Il parametro max-age specifica per quanto tempo il browser rispetterà la politica per.

È anche possibile elencare il tuo sito nella lista di precarico HSTS . Questo elenco viene fornito con i browser. Il vantaggio dell'elenco è che il sito non richiede la prima (insicura) visita da effettuare per poter impostare la politica.

    
risposta data 10.06.2015 - 14:54
fonte

Leggi altre domande sui tag