In che modo il browser Web di un cliente sa se un sito Web è solo HTTPS?
Ecco lo scenario, un cliente tenta di accedere a facebook.com digitando facebook.com nella barra degli indirizzi, il browser passa automaticamente alla versione non protetta link ma Facebook non lo consente, invia un reindirizzamento alla versione sicura del sito web link .
Questo scenario mi sembra vulnerabile, un utente malintenzionato (uomo nel mezzo) potrebbe intercettare il traffico mentre la connessione era ancora in HTTP e fare in modo che il server non invii mai un reindirizzamento a HTTPS e quindi interrompa la connessione sicura.
Sono abbastanza sicuro che la gente ci abbia già pensato e risolto il problema, ma come?
Avere un elenco di siti Web che sono solo HTTPS forniti con il browser Web non sembra essere efficace.
Forse la prima volta che il client si connette al sito Web, riceve un messaggio che dice di accedere al sito Web tramite HTTPS solo per un determinato periodo di tempo?