La home page della nostra app Web reindirizza da HTTP a HTTPS. Il nostro consulente per la sicurezza ci ha detto che questo è un significativo punto debole della sicurezza, che il reindirizzamento potrebbe essere intercettato, ad es. da SSLStrip. Pertanto, dovremmo rimuovere il reindirizzamento e disabilitare completamente HTTP, richiedendo all'utente di digitare manualmente https: // ...
Dopo aver studiato personalmente il problema, mi sembra che la risposta http iniziale possa essere falsificata dal MITM direttamente da un aggressore: non è necessario un reindirizzamento. Quindi, rimuovere il reindirizzamento non ottiene nulla.
Tuttavia non sono sicuro, se lo stesso SSLStrip può farlo, forse prima dovrebbe vedere la risposta HTTP iniziale.
Capisco che l'HSTS possa prevenire questo problema, SE il dispositivo / browser in questione ha contattato la nostra app una volta prima. Ma per il contatto iniziale, la richiesta HTTP può essere dirottata, indipendentemente da ciò che fa l'app - non c'è protezione, a meno che la nostra web app non fosse abbastanza popolare da essere inclusa negli elenchi HSTS del browser.
Cosa mi sono perso? Il reindirizzamento da HTTP a HTTPS è significativo?
Ho il malumore di rimuoverlo poiché impedirebbe a molti utenti tipici di connettersi al nostro sito e non sembra ottenere alcun risultato.