Re: [uanog] What is the best practices (http to https redirect chain VS https only) ?

Привіт Існує вже 10 років ось таке: RFC6797 HTTP Strict Transport Security (HSTS) Abstract This specification defines a mechanism enabling web sites to declare themselves accessible only via secure connections and/or for users to be able to direct their user agent(s) to interact with given sites only over secure connections. This overall policy is referred to as HTTP Strict Transport Security (HSTS). The policy is declared by web sites via the Strict-Transport-Security HTTP response header field and/or by other means, such as user agent configuration, for example. Ось наприклад user guide for USA federal government: https://https.cio.gov/hsts/ Максим

On 8 Jun 2023, at 06:21, Oleh Hrynchuk wrote:

Доброго ранку, колеги.

Одна канторка робить нам аудит (готує до SOC) І викотила одним із зауважень отаке:

Site does not enforce HTTPS (-8,1 score impact)

Recommendation Any site served to a user (possibly at the end of a redirect chain) should be served over HTTPS. (list of web-servers omitted)

То питання. Я ніде не знайшов явних вимог що взагалі слід відмовитися від використання http --> https redirects. Всеодно вся інформація від сервера повертається через https.

То чому ставиться така вимога (прибрати взагалі саму можливість обслуговування сервером клієнтських http requests)?

Наскільки логічна така вимога аудиторів? (Ще й немалий бал знімають за це...)

Додам ще, що усі такі web-servers зі списку характеризуються однією спільною ознакою:

1. Вони дійсно обслуговують запит по http, наприклад, http://webserver.example.com http://webserver.example.com/ 2. Але відразу редіректять цей запит на щось типу https://webserver.example.com/account/default/login-form https://webserver.example.com/account/default/login-form. І далі вже працюють виключно через https.

Наперед дякую за пояснення.

-- Regards, /oleh hrynchuk _______________________________________________ uanog mailing list uanog@uanog.kiev.ua https://mailman.uanog.kiev.ua/mailman/listinfo/uanog