Sito web che utilizza http e https

0

Esiste un metodo per sapere se un sito Web è solo https o utilizza anche pagine Web http? Può essere fatto senza utilizzare la cache del browser?

    
posta faraz khan 21.05.2015 - 06:45
fonte

1 risposta

2

Presumo che tu stia parlando di HSTS .

HSTS è TOFU (Fiducia al primo utilizzo). Quindi dal secondo utilizzo in poi, sei protetto.

Ma per quanto riguarda il primo utilizzo?

Non penso che ci sia una strategia unificata. Ma ecco alcune idee:

Cosa funziona oggi

  • Precarico HSTS: utilizza un browser che utilizza gli elenchi di precarico HSTS. (Chrome, Firefox) E spero che gli sviluppatori del sito web che vuoi visitare abbiano il loro sito web elencato per il preloading HSTS .
  • HTTPS ovunque: c'è il progetto HTTPS Everywhere di EFF che utilizza un plug-in lato browser (Chrome, Firefox ) e un ampio elenco di regole di reindirizzamento, per reindirizzare semplici richieste HTTP a siti HTTPS crittografati. Questo plugin funziona solo se è stata creata una regola per il sito Web che si desidera visitare. Ma - a parte il precaricamento dell'HSTS - questo non dipende dalla cooperazione del webmaster. Le regole possono essere inviate da chiunque.

Cosa potrebbe funzionare in futuro

  • DANE / DNSSEC: DNS è un veicolo per scopi generali per la memorizzazione di informazioni sui nomi di dominio. L'articolo di Wikipedia su HSTS suggerisce che questo potrebbe essere usato in futuro per indicare il supporto HTTPS. - " DANE " è un meccanismo che utilizza DNSSEC (la forma firmata di DNS) per comunicare informazioni criptate su un nome del dominio. Ad esempio, per dire "solo questa CA può firmare i miei certificati HTTPS". Ciò si ottiene posizionando qualcosa come questo nel server DNS:

    _443._tcp.www.example.com. IN TLSA (
    0 0 1 d2abde240d7cd3ee6b4b28c54df034b9
    7983a1d16e8a410e4561cb106618e971 )

Ora questo dice a chiunque (a chi importa di chiedere) che una chiave crittografica specifica sia associata in qualche modo a un servizio in esecuzione sulla porta 443 su www.example.com.

Ora un essere umano può facilmente intuire: "Va bene, 443 sarà probabilmente HTTPS", quindi connettersi con HTTPS anziché con HTTP semplice. Ma ciò che non è possibile dedurre da un record DANE esistente è che HTTPS è completamente supportato per ogni bit del sito web. (Ad esempio, HTTPS potrebbe essere utilizzato solo per accedere a quel sito e non funzionare per il resto del sito.)

Ma AFAIK non esiste ancora un meccanismo per comunicare "Usa HTTPS!" su un browser.

    
risposta data 21.05.2015 - 08:29
fonte

Leggi altre domande sui tag