чт, 8 черв. 2023 р. о 15:14 George L. Yermulnik
Hello!
On Thu, 08 Jun 2023 at 15:09:51 (+0300), Oleh Hrynchuk wrote:
Я б сказав, що використання https є гарною практикою взагалі й тому завжди ставлю redirect з 80-го порту на 443-й, не керуючись ніякими документами.
Володю, в тому-то й питання, що "аудитна тулза" це порахувала за недостатнє. Вона не хоче redirect з 80-го порту на 443-й. Вона хоче blocked port 80 і використання ВИКЛЮЧНО port 443.
Так суперечать же самі собі, imho: [--- cut ---] *Recommendation* Any site served to a user (possibly at the end of a redirect chain) should be served over HTTPS. (list of web-servers omitted) [--- cut ---]
Ну, враховуючи сентенцію в дужках "(possibly at the end of a redirect chain)" ніби нема суперечності. Але так... згоден, що у відриві від змісту ВСЬОГО report'a це звучить неочевидно. Так. Увесь report, на жаль, звісно не можу надати... з очевидних причин.. Скажу лише що перебрали купу тулзів та хмарних рішень. Спочатку зупинилися на https://portal.intruder.io/ (скоро відмовимося, бо з нього стартували, це гарна тулза, вельми інтуїтивно зрозуміла, але "не копає" НЕ досить глибоко. А нам треба саме "дуже глибоко"). Потім перейшли на https://app.orcasecurity.io - і мабуть будемо й надалі використовувати. Бо окрім "глибокості копання" дуже гарно інтегрується з AWS. Але неінтуїтивна, має ще баги в інтерфейсі (хоча їхня команда чесно це визнає, просить рапортувати і йде на різноманітні знижки). Ще є й інші тулзи, котрі точково використовуватимемо в інших місцях ІТ-інфраструктури. Або ж десь на https сторінках є посилання на http url'и без редіректу на
https.
Можливо. Так. Всі ще не перевірив. Але серед тих, котрі перевірив (і котрі є в списку "хренових") - саме сам факт редіректа http-->https визнається "хреновим". 20 сайтів таких. На них зрізали 8,1 балів. Це дуже дохрена в загальній картині. Бо ~20 балів нам якраз і не вистачає до "повного ажура".
Прошу вибачення, якщо надто складно сформулював питання.
On June 8, 2023 6:21:24 AM GMT+02:00, Oleh Hrynchuk < oleh.hrynchuk@gmail.com> wrote:
Доброго ранку, колеги.
Одна канторка робить нам аудит (готує до SOC) І викотила одним із зауважень отаке:
*Site does not enforce HTTPS (-8,1 score impact)*
*Recommendation* Any site served to a user (possibly at the end of a redirect chain) should be served over HTTPS. (list of web-servers omitted)
То питання. Я ніде не знайшов явних вимог що взагалі слід відмовитися від використання http --> https redirects. Всеодно вся інформація від сервера повертається через https.
То чому ставиться така вимога (прибрати взагалі саму можливість обслуговування сервером клієнтських http requests)?
*Наскільки логічна така вимога аудиторів?* (Ще й немалий бал знімають за це...)
Додам ще, що усі такі web-servers зі списку характеризуються однією спільною ознакою:
1. Вони дійсно обслуговують запит по http, наприклад, http://webserver.example.com 2. Але відразу редіректять цей запит на щось типу https://webserver.example.com/account/default/login-form. І далі вже працюють виключно через https.
Наперед дякую за пояснення.
_______________________________________________ uanog mailing list uanog@uanog.kiev.ua https://mailman.uanog.kiev.ua/mailman/listinfo/uanog
-- George L. Yermulnik [YZ-RIPE] _______________________________________________ uanog mailing list uanog@uanog.kiev.ua https://mailman.uanog.kiev.ua/mailman/listinfo/uanog
-- Regards, /oleh hrynchuk