HSTS vs RewriteRule

1

Recentemente ho letto che HSTS è progettato per evitare alcune delle vulnerabilità associate ai reindirizzamenti htaccess per forzare HTTPS, perché il browser può essere fatto per ignorarli. Detto questo, molti dei nostri siti Web impongono HTTPS tramite la seguente RewriteRule:

RewriteEngine On 
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

La mia domanda è: le RewriteRules sono soggette alla stessa vulnerabilità generale dei reindirizzamenti o sono un'alternativa relativamente sicura all'HSTS?

    
posta Nosajimiki 01.11.2018 - 22:24
fonte

1 risposta

7

No, una regola di riscrittura è ancora vulnerabile ad attacchi come sslstrip.

Se guardi la documentazione o la provi, vedrai che la regola di riscrittura sta effettivamente creando un reindirizzamento.

    
risposta data 01.11.2018 - 22:31
fonte

Leggi altre domande sui tag