О, дякую, Володимире.
Ясно.
Стосовно HSTS (2Maksym) - ага, в курсі. На ці vulnerabilities в нас окрема
секція. Тут зрозуміло.
Цікавила саме логіка "чому "чистий" https - нормально, а
редірект http-->https - ненормально".
Гарного всім дня!
чт, 8 черв. 2023 р. о 10:00 Volodymyr Sharun
Привіт,
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-S...
В http request'ах є кукі/хедери, в які MITM може інжектнути/прочитати/викоритстати проти тебе щось. Не кажучи вже про те, що авторизаційний токен - це зазвичай кука і рідко local storage token, який опитується локально js'ом/підписує ріквести (щоб не використовувати pre shared token).
Для підвищення скорінга можна ще на кукі авторизаційного характеру ставити атрибути Secure (не передаються по http) і недоступність для js коду - HttpOnly (протидія XSS'у).
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Set-Cookie On 08/06/23 7:21, Oleh Hrynchuk wrote:
Доброго ранку, колеги.
Одна канторка робить нам аудит (готує до SOC) І викотила одним із зауважень отаке:
*Site does not enforce HTTPS (-8,1 score impact)*
*Recommendation* Any site served to a user (possibly at the end of a redirect chain) should be served over HTTPS. (list of web-servers omitted)
То питання. Я ніде не знайшов явних вимог що взагалі слід відмовитися від використання http --> https redirects. Всеодно вся інформація від сервера повертається через https.
То чому ставиться така вимога (прибрати взагалі саму можливість обслуговування сервером клієнтських http requests)?
*Наскільки логічна така вимога аудиторів?* (Ще й немалий бал знімають за це...)
Додам ще, що усі такі web-servers зі списку характеризуються однією спільною ознакою:
1. Вони дійсно обслуговують запит по http, наприклад, http://webserver.example.com 2. Але відразу редіректять цей запит на щось типу https://webserver.example.com/account/default/login-form. І далі вже працюють виключно через https.
Наперед дякую за пояснення.
-- Regards, /oleh hrynchuk
_______________________________________________ uanog mailing listuanog@uanog.kiev.uahttps://mailman.uanog.kiev.ua/mailman/listinfo/uanog
_______________________________________________ uanog mailing list uanog@uanog.kiev.ua https://mailman.uanog.kiev.ua/mailman/listinfo/uanog
-- Regards, /oleh hrynchuk