Abstract

This specification defines a mechanism enabling web sites to declare

themselves accessible only via secure connections and/or for users to

be able to direct their user agent(s) to interact with given sites

only over secure connections. This overall policy is referred to as

HTTP Strict Transport Security (HSTS). The policy is declared by web

sites via the Strict-Transport-Security HTTP response header field

and/or by other means, such as user agent configuration, for example.

Ось наприклад user guide for USA federal government: https://https.cio.gov/hsts/

Максим

On 8 Jun 2023, at 06:21, Oleh Hrynchuk <oleh.hrynchuk@gmail.com> wrote:

Доброго ранку, колеги.

Одна канторка робить нам аудит (готує до SOC)
І викотила одним із зауважень отаке:

Site does not enforce HTTPS (-8,1 score impact)

Recommendation
Any site served to a user (possibly at the end of a redirect chain) should be served over HTTPS.
(list of web-servers omitted)

То питання.
Я ніде не знайшов явних вимог що взагалі слід відмовитися від використання http --> https redirects.
Всеодно вся інформація від сервера повертається через https.

То чому ставиться така вимога (прибрати взагалі саму можливість обслуговування сервером клієнтських http requests)?

Наскільки логічна така вимога аудиторів?
(Ще й немалий бал знімають за це...)

Додам ще, що усі такі web-servers зі списку характеризуються однією спільною ознакою:

1. Вони дійсно обслуговують запит по http, наприклад, http://webserver.example.com
2. Але відразу редіректять цей запит на щось типу https://webserver.example.com/account/default/login-form. І далі вже працюють виключно через https.

Наперед дякую за пояснення.

--
Regards,
/oleh hrynchuk
_______________________________________________
uanog mailing list
uanog@uanog.kiev.ua
https://mailman.uanog.kiev.ua/mailman/listinfo/uanog