È più sicuro chiudere la porta 80 e lasciare aperta la porta 443

2

Credo che questa domanda non sia duplicata di following domanda. Questo perché la risposta fornita a questa domanda si concentra solo sull'esperienza utente, mentre la mia domanda si concentra esclusivamente sulla sicurezza.

Scenario: eseguo un piccolo sito Web, che è destinato a essere utilizzato solo da me e da alcuni dei miei amici. Sto usando HTTPS per connettermi al sito web e ho lasciato la porta 80 bloccata. Tutti gli utenti legittimi sono stati informati che il sito web funzionerà SOLO se hanno messo https:// sulla parte anteriore dell'indirizzo, e tutti hanno accettato questo senza alcun obbligo e nessuno ha avuto problemi con questo. Il sito Web richiede all'utente di accedere direttamente dall'inizio, prima che possano accedere a qualsiasi cosa, il che significa che l'SSL è richiesto dall'inizio della connessione. Mentre l'HSTS non è ancora disponibile, l'implementazione dell'HSTS è prevista anche sul server.

Domanda: sta bloccando la porta 80 che rende il sito Web più sicuro? Ho cercato risultati su google, tuttavia tutto si concentra esclusivamente sull'esperienza utente (ad es. L'utente non ha bisogno di mettere https:// davanti al link, altrimenti il browser non si connetterà.)

Per questa domanda mi aspetto che la risposta si concentri principalmente sulla sicurezza. Tuttavia, per ulteriore riferimento, andrò bene se la risposta evidenzierà anche perché bloccare la porta 80 è una cattiva idea. Se questo è un caso, vorrei chiedere di separare la risposta in due parti.     
posta vakus 12.12.2017 - 11:53
fonte

3 risposte

3

In teoria, chiudere la porta 80 potrebbe rendere il sistema più sicuro: ad esempio, se si esegue una versione vulnerabile di un server in ascolto sulla porta 80 e una versione diversa non vulnerabile sulla porta 443. Se si sta utilizzando il lo stesso software per entrambe le porte, tuttavia, è improbabile che faccia alcuna differenza, a meno che non ci siano bug specifici che funzionano solo su determinate porte. Dato che la maggior parte del software del server Web è scritta in modo tale da poter essere ascoltata su qualsiasi porta, sembra improbabile che ci siano percorsi di codice radicalmente diversi (è anche possibile, anche se non comune eseguire HTTPS sulla porta 80, dopo tutto).

Il principio generale è di minimizzare il numero di porte esposte al mondo, e poiché il vantaggio principale dell'apertura della porta 80 è di aiutare l'usabilità, che tu hai detto non si applica in questo caso, non ha molto senso aprendolo.

    
risposta data 12.12.2017 - 12:09
fonte
0

Si potrebbe sostenere che disabilitare HTTP impone agli utenti di utilizzare sempre l'URL https: //, poiché http: // semplicemente non funziona. Ciò potrebbe rendere il tuo servizio più sicuro contro gli aggressori "man-in-the-middle".

    
risposta data 12.12.2017 - 13:53
fonte
0

Onestamente dovresti configurare il tuo server per reindirizzare tutte le richieste su HTTPS. In questo modo, non importa che diavolo scrivano, si accerterà automaticamente che rimanga come HTTPS. Questo è quello che fanno molti siti come Facebook, da qui il motivo per cui non devi mai digitare HTTPS quando vai ai loro siti. Per quanto riguarda la disattivazione della porta 80, direi di farlo indipendentemente

    
risposta data 24.01.2019 - 15:14
fonte

Leggi altre domande sui tag