Re: [uanog] What is the best practices (http to https redirect chain VS https only) ?

8 Jun 2023

      А, бляха, це вічна хєрня з аудітними тулзами, боюся, що тут треба тільки 
пояснювати.

В конторі, на яку я зараз працюю, використовується аудитна тулза - Astra 
Security щось там - то я тупо відкриваю тікет на exception для певних 
ситуацій.

On 6/8/23 2:09 pm, Oleh Hrynchuk wrote:
...
чт, 8 черв. 2023 р. о 12:43 Volodymyr Litovka  пише:
Я б сказав, що використання https є гарною практикою взагалі й
    тому завжди ставлю redirect з 80-го порту на 443-й, не керуючись
    ніякими документами.
Володю, в тому-то й питання, що "аудитна тулза" це порахувала за 
недостатнє.
Вона не хоче redirect з 80-го порту на 443-й. Вона хоче blocked port 
80 і використання ВИКЛЮЧНО port 443.
Прошу вибачення, якщо надто складно сформулював питання.
On June 8, 2023 6:21:24 AM GMT+02:00, Oleh Hrynchuk
     wrote:
Доброго ранку, колеги.
Одна канторка робить нам аудит (готує до SOC)
        І викотила одним із зауважень отаке:
*Site does not enforce HTTPS (-8,1 score impact)*
*Recommendation*
        Any site served to a user (possibly at the end of a redirect
        chain) should be served over HTTPS.
        (list of web-servers omitted)
То питання.
        Я ніде не знайшов явних вимог що взагалі слід відмовитися від
        використання http --> https redirects.
        Всеодно вся інформація від сервера повертається через https.
То чому ставиться така вимога (прибрати взагалі саму
        можливість обслуговування сервером клієнтських http requests)?
*Наскільки логічна така вимога аудиторів?*
        (Ще й немалий бал знімають за це...)
Додам ще, що усі такі web-servers зі списку характеризуються
        однією спільною ознакою:
1. Вони дійсно обслуговують запит по http, наприклад,
        http://webserver.example.com
        2. Але відразу редіректять цей запит на щось типу
        https://webserver.example.com/account/default/login-form. І
        далі вже працюють виключно через https.
Наперед дякую за пояснення.
_______________________________________________
    uanog mailing list
    uanog@uanog.kiev.ua
    https://mailman.uanog.kiev.ua/mailman/listinfo/uanog
-- 
Regards,
/oleh hrynchuk
-- 
Volodymyr Litovka
   "Vision without Execution is Hallucination." -- Thomas Edison