È consigliabile forzare il reindirizzamento 301 oltre all'intestazione Strict-Transport-Security?

1

Ho capito che la guida utilizza Strict-Transport-Security per le connessioni su HTTP.

A prima vista, sembra che il 301 reindirizzamento del traffico HTTP su HTTPS abbia lo scopo di ottenere lo stesso effetto. Tuttavia, come sappiamo da domande come È un reindirizzamento HTTP 301 a HTTPS, non sicuro? , i reindirizzamenti 301 in realtà non creano una sicurezza perfetta.

Quindi sì, il reindirizzamento 301 non impedisce realmente l'attacco MITM, ma a me sembra che possa aiutare a prevenire attacchi di intercettazione. Quindi, supponendo che ci preoccupiamo della divulgazione delle informazioni sulla risposta del server, c'è qualche ragione per cui non sarebbe meglio fare sempre 301 reindirizzare il traffico HTTP in entrata oltre a usare l'intestazione Strict-Transport-Security ?

    
posta Tim Lovell-Smith 18.11.2016 - 18:28
fonte

1 risposta

7

Sì, assolutamente. Se si implementa HTTP Strict Transport Security (HSTS), è necessario creare anche un reindirizzamento esplicito da HTTP a HTTPS. Ciò andrà a vantaggio anche dei clienti che non hanno implementato lo standard HSTS.

Se vuoi inviare il tuo sito web alla lista di precarico HSTS questo comportamento è addirittura obbligatorio:

In order to be accepted to the HSTS preload list through this form, your site must satisfy the following set of requirements:

  1. Serve a valid certificate.
  2. Redirect from HTTP to HTTPS on the same host.
  3. Serve all subdomains over HTTPS. (...)
  4. Serve an HSTS header on the base domain for HTTPS requests: (...)

Si noti che il reindirizzamento 301 raggiunge non lo stesso di HSTS. Entrambe le tecniche reindirizzano un utente da HTTP a HTTPS ma con HSTS il browser si ricorderà di utilizzare HTTPS su quel sito fino a quando non verrà raggiunto un timeout specificato. HSTS è affidabile al primo utilizzo, quindi un utente è vulnerabile solo la prima volta che immette mybank.com nella barra degli indirizzi. Dopodiché, un utente malintenzionato non può indurti a visitare nuovamente la versione HTTP.

Domanda correlata: Che cos'è il differenza tra l'utilizzo di HSTS e il reindirizzamento 301?

    
risposta data 18.11.2016 - 18:53
fonte

Leggi altre domande sui tag