Ho un sito web che utilizza HTTPS. L'ho configurato in modo che l'HTTP sia reindirizzato su HTTPS.
Ho anche una funzione in cui il sito esporta un file che l'utente può scaricare.
Questo file è trasferito usando HTTPS?
Modificato per aggiungere screenshot della console di rete di Chrome per mostrare ciò che vedo.
I siti Web non possono esportare direttamente file in un browser web; il browser deve prima effettuare una richiesta, quindi il server risponde alla richiesta inviando del contenuto. È così che (quasi) tutto sul web funziona, indipendentemente dal fatto che i contenuti offerti siano pagine Web (HTML, CSS, ecc.) O altri contenuti (come un file creato dal server per te).
Questo è importante perché, per ogni richiesta, è il BROWSER che decide se la richiesta viene inviata tramite HTTP o HTTPS. Il server non ha alcuna voce in capitolo. Il server può decidere che l'unica cosa che farà per le richieste HTTP è inviare una risposta che equivale a "riprovare, ma su HTTPS" - questo probabilmente è ciò che intendi per "configurarlo in modo che HTTP viene reindirizzato a HTTPS "- ma se la richiesta arriva su HTTP, la risposta tornerà allo stesso modo.
Se vuoi testare, è abbastanza facile. Aprire gli strumenti di sviluppo di un browser Web (per la maggior parte dei browser, è possibile farlo facendo clic con il tasto destro su qualsiasi pagina e selezionando "Ispeziona") e accedere alla scheda Rete. Vai al tuo sito e scarica il file esportato. Cerca nei dati registrati negli strumenti di sviluppo (avviso: potrebbe essercene molta parte) e vedi se la richiesta che ha inviato il file al server è andata su HTTP o HTTPS. Qualunque sia il browser utilizzato, è quello che il server ha usato.
In un sito web ben configurato mi aspetto che i download di file e le pagine vengano pubblicati su HTTPS, almeno se i download dei file sono ospitati nello stesso dominio del resto del sito. Tuttavia è abbastanza probabile che il sito possa essere configurato in modo diverso.
Se l'utente è connesso al sito, il browser invierà il valore del cookie dell'ID di sessione al sito con ogni richiesta, inclusi quelli per i file di download. Se qualcuno può origliare e ottenere quell'ID di sessione, allora può dirottare la sessione dell'utente ed eseguire qualsiasi azione consentita dal sito Web durante la rappresentazione.
screenshot of Chrome network console to show what I see.
Sì, che viene scaricato su HTTPS nello screenshot.
Se il link al file inizia con https:// , o se la pagina su cui si trova il collegamento è già caricata su HTTPS ma il collegamento non inizia con http:// , allora è previsto che venga caricato su HTTPS.
Ovviamente, questo presuppone che non ci siano trucchi JavaScript nel codice personalizzato per riscrivere i collegamenti. E, naturalmente, si presuppone che il server non risponde con un reindirizzamento 30x su HTTP semplice. Altrimenti, sei bravo.
Leggi altre domande sui tag tls