чт, 8 черв. 2023 р. о 15:14 George L. Yermulnik <yz@yz.kiev.ua> пише:

Hello!

On Thu, 08 Jun 2023 at 15:09:51 (+0300), Oleh Hrynchuk wrote:

> > Я б сказав, що використання https є гарною практикою взагалі й тому завжди
> > ставлю redirect з 80-го порту на 443-й, не керуючись ніякими документами.

> Володю, в тому-то й питання, що "аудитна тулза" це порахувала за недостатнє.
> Вона не хоче redirect з 80-го порту на 443-й. Вона хоче blocked port 80 і
> використання ВИКЛЮЧНО port 443.

Так суперечать же самі собі, imho:
[--- cut ---]
*Recommendation*
Any site served to a user (possibly at the end of a redirect chain) should be served over HTTPS.
(list of web-servers omitted)
[--- cut ---]

Ну, враховуючи сентенцію в дужках "(possibly at the end of a redirect chain)" ніби нема суперечності.
Але так... згоден, що у відриві від змісту ВСЬОГО report'a це звучить неочевидно. Так.
Увесь report, на жаль, звісно не можу надати... з очевидних причин..

Скажу лише що перебрали купу тулзів та хмарних рішень.
Спочатку зупинилися на https://portal.intruder.io/ (скоро відмовимося, бо з нього стартували, це гарна тулза, вельми інтуїтивно зрозуміла, але "не копає" НЕ досить глибоко. А нам треба саме "дуже глибоко").
Потім перейшли на https://app.orcasecurity.io - і мабуть будемо й надалі використовувати. Бо окрім "глибокості копання" дуже гарно інтегрується з AWS.
Але неінтуїтивна, має ще баги в інтерфейсі (хоча їхня команда чесно це визнає, просить рапортувати і йде на різноманітні знижки).
Ще є й інші тулзи, котрі точково використовуватимемо в інших місцях ІТ-інфраструктури.

Або ж десь на https сторінках є посилання на http url'и без редіректу на https.

Можливо. Так. Всі ще не перевірив. Але серед тих, котрі перевірив (і котрі є в списку "хренових") - саме сам факт редіректа http-->https визнається "хреновим".
20 сайтів таких. На них зрізали 8,1 балів. Це дуже дохрена в загальній картині. Бо ~20 балів нам якраз і не вистачає до "повного ажура".

> Прошу вибачення, якщо надто складно сформулював питання.

> > On June 8, 2023 6:21:24 AM GMT+02:00, Oleh Hrynchuk <
> > oleh.hrynchuk@gmail.com> wrote:

> >> Доброго ранку, колеги.

> >> Одна канторка робить нам аудит (готує до SOC)
> >> І викотила одним із зауважень отаке:

> >> *Site does not enforce HTTPS (-8,1 score impact)*

> >> *Recommendation*
> >> Any site served to a user (possibly at the end of a redirect chain)
> >> should be served over HTTPS.
> >> (list of web-servers omitted)

> >> То питання.
> >> Я ніде не знайшов явних вимог що взагалі слід відмовитися від
> >> використання http --> https redirects.
> >> Всеодно вся інформація від сервера повертається через https.

> >> То чому ставиться така вимога (прибрати взагалі саму можливість
> >> обслуговування сервером клієнтських http requests)?

> >> *Наскільки логічна така вимога аудиторів?*
> >> (Ще й немалий бал знімають за це...)

> >> Додам ще, що усі такі web-servers зі списку характеризуються однією
> >> спільною ознакою:

> >> 1. Вони дійсно обслуговують запит по http, наприклад,
> >> http://webserver.example.com
> >> 2. Але відразу редіректять цей запит на щось типу
> >> https://webserver.example.com/account/default/login-form. І далі вже
> >> працюють виключно через https.

> >> Наперед дякую за пояснення.

> >> _______________________________________________
> > uanog mailing list
> > uanog@uanog.kiev.ua
> > https://mailman.uanog.kiev.ua/mailman/listinfo/uanog

--
George L. Yermulnik
[YZ-RIPE]
_______________________________________________
uanog mailing list
uanog@uanog.kiev.ua
https://mailman.uanog.kiev.ua/mailman/listinfo/uanog

Regards,
/oleh hrynchuk