Devo usare HTTPS su un dominio che verrà utilizzato solo per il reindirizzamento?

Sjoerd

2019-03-06 17:29:42 UTC

view on stackexchange narkive permalink

Se non proteggi example.com e un utente visita quel sito, un utente malintenzionato man-in-the-middle può manipolare il traffico e mantenere l'utente su example.com , dove può intercettare tutto il traffico.

Non importa se la tua versione di example.com reindirizza a https: //www.example .com / . L'autore dell'attacco può modificare questo comportamento e offrire all'utente una versione HTTP del tuo sito.

È ancora vulnerabile sapendo che "http: // miodominio.com /" reindirizzerà (tramite Apache) tutto il traffico a "https: // www.miodominio.com /"?Quindi, se provi ad andare su "http: // miodominio.com / qualchepagina /" Apache invierà l'utente a "https: // www.miodominio.com /" Inoltre ho qualche vecchio sito web che reindirizzerà `http: //mydomain.com/somepage/? With = param` a` https: //www.mydomain.com/somepage/? With = param`

Sì.Il comportamento legittimo di "http: // miodominio.com /" non è rilevante poiché l'attaccante può modificare tale comportamento con il suo attacco man-in-the-middle.

Ma la prima chiamata sarebbe ancora in http prima di essere reindirizzata a https, quindi il man-in-the-middle può ancora interferire, vero?

@Michel dovresti abilitare [HSTS] (https://www.globalsign.com/en/blog/what-is-hsts-and-how-do-i-use-it/) per risolverlo.I certificati sono gratuiti, nessun motivo per non usarli!

@Josef HSTS non è inutile contro MITM a meno che tu non sia negli elenchi di precaricamento HSTS?L'aggressore può semplicemente rimuovere l'intestazione HSTS del server.

@Fax HSTS non è completamente sicuro se il tuo sito non è negli elenchi di precaricamento, ma non è nemmeno inutile, perché una volta che un client si connette * senza * essere MITMed, caricherà la politica HSTS corretta e non sarà piùvulnerabile.Pertanto, un utente malintenzionato deve catturare il client alla prima connessione o ha perso l'opportunità.

@GordonDavisson e oltre a ciò, entrare negli elenchi di precaricamento è semplicissimo, non c'è motivo per non farlo, una volta confermato che HTTPS funziona.https://hstspreload.org

@Fax è inutile solo se ti aspetti che il 100% dei visitatori dei tuoi siti visiti il sito per la prima volta in un ambiente dannoso.Ma se questo è il tuo modello di minaccia, hai comunque altri problemi.

Teun Vink

2019-03-06 16:44:33 UTC

view on stackexchange narkive permalink

Se non disponi di un certificato per example.com , chiunque tenti di accedervi (senza la parte www. ) su HTTPS riceverà un errore e molto probabilmente non un reindirizzamento a www.example.com . Con i browser che spingono sempre di più HTTPS come protocollo predefinito, questo diventerà un problema crescente.

Molte autorità di certificazione ti consentono di aggiungere più nomi di dominio in una richiesta di certificato, così puoi ottenere un certificato per entrambi > example.com e www.example.com .

I "browser spingono HTTPS come protocollo predefinito"?Qualche browser utilizza HTTPS per impostazione predefinita quando inserisci solo miodominio.com?

@Sjoerd: Sì.Brave prova prima HTTPS per impostazione predefinita e molti utenti di altri browser hanno installato l'estensione HTTPS Everywhere (https://www.eff.org/https-everywhere).

@malexdev Da quanto ho capito, HTTPS ovunque * non * fa sì che il tuo browser utilizzi HTTPS per impostazione predefinita su tutti i siti, nonostante quello che dice il suo nome.Ha semplicemente una [whitelist] (https://www.eff.org/https-everywhere/atlas/) di siti Web che vengono reindirizzati a HTTPS.Non ha effetto su tutti gli altri siti.

* HTTPS Everywhere * di @FedericoPoloni EFF può essere impostato per forzare l'esecuzione di tutte le connessioni utilizzando HTTPS, anche quando si tenta di utilizzare HTTP.La mia esperienza è che, a meno che non si utilizzino solo siti "famosi", quella modalità ha purtroppo la tendenza a non funzionare più di quanto non aiuti.

John Morahan

2019-03-07 19:06:59 UTC

view on stackexchange narkive permalink

Sì, dovresti.

Nel tuo scenario, l'utente digita il nome del tuo dominio nella barra degli indirizzi del browser. Nessun protocollo, nessun www. , solo example.com . La maggior parte dei browser risponderà provando prima a connettersi a http://example.com . Ora un utente malintenzionato ha l'opportunità di interferire con questa richiesta e / o la risposta, impedendo che si verifichi un reindirizzamento o reindirizzando l'utente alla destinazione sbagliata o qualsiasi altro comportamento scorretto.

Semplicemente supporto HTTPS sul dominio di base non aiuta in questo, poiché il browser si connetterà comunque su HTTP prima e l'attaccante controlla cosa succede da quel momento in poi. (Sebbene abbia il vantaggio minore di fornire una migliore esperienza per quei rari utenti che digitano https://example.com nei loro browser).

L'unico modo per evitare il problema è se, quando l'utente digita example.com , il browser si connette immediatamente tramite HTTPS , senza attendere un reindirizzamento. Ciò può essere ottenuto (nella maggior parte dei browser) inserendo il tuo dominio nell ' elenco di precaricamento HSTS. I requisiti per l'aggiunta di un dominio all'elenco di precaricamento implicano che il dominio di base deve essere disponibile su HTTPS (puoi inviare solo il dominio di base per l'inclusione, ed è quello che verrà verificato per i primi due requisiti; inoltre, l'intestazione HSTS come specificato nel quarto requisito è valida solo su HTTPS).

Quindi, la risposta alla tua domanda è sì - dovresti proteggere il dominio di base - ma dovresti anche considerare di soddisfare l'altro requisiti e aggiungendo il dominio all'elenco di precaricamento.

Un bel punto su HSTS, in realtà impone il reindirizzamento del browser prima che qualsiasi risultato venga restituito all'utente.Possiamo effettivamente controllare l '[elenco precaricato di Chromium in questo .json] (https://src.chromium.org/viewvc/chrome/trunk/src/net/http/transport_security_state_static.json).

Dana

2019-03-07 11:54:54 UTC

view on stackexchange narkive permalink

Se hai abilitato il certificato SSL di RapidSSL, GeoTrust, Thawte, non devi preoccuparti del tuo dominio esempio .com perché proteggono la versione www e non www del nome di dominio come example.com & www.example.com

Ma sì, se devi mantenere il dominio www www.example.com come dominio preferito, devi reindirizzare il tuo dominio non www example.com utilizzando il reindirizzamento 301. La stessa soluzione di query fornita in questo argomento certificato SSL diverso per www e non www se sei ancora confuso.

Il certificato può * coprire * sia il dominio nudo che il sottodominio www, ma in realtà non * protegge * entrambi a meno che non sia installato correttamente.

wangolo joel

2019-03-06 17:18:38 UTC

view on stackexchange narkive permalink

Se stai reindirizzando con alcune informazioni nell'URL al dominio di destinazione, fai attenzione, allora c'è preoccupazione per la sicurezza

Credenziali di testo in chiaro ( https: // www. nmmapper.com/st/exploitdetails/44545/39709/sickrage-v20180309-clear-text-credentials-http-response/)

Puoi utilizzare Letsencrypt ( https://certbot.eff.org/) e ottieni un certificato gratuito per il tuo dominio. anche se ci sono per il reindirizzamento.

Si prega di includere un riepilogo del collegamento nella risposta.Qual è il rischio per la sicurezza?