Доброго ранку, колеги. Одна канторка робить нам аудит (готує до SOC) І викотила одним із зауважень отаке: *Site does not enforce HTTPS (-8,1 score impact)* *Recommendation* Any site served to a user (possibly at the end of a redirect chain) should be served over HTTPS. (list of web-servers omitted) То питання. Я ніде не знайшов явних вимог що взагалі слід відмовитися від використання http --> https redirects. Всеодно вся інформація від сервера повертається через https. То чому ставиться така вимога (прибрати взагалі саму можливість обслуговування сервером клієнтських http requests)? *Наскільки логічна така вимога аудиторів?* (Ще й немалий бал знімають за це...) Додам ще, що усі такі web-servers зі списку характеризуються однією спільною ознакою: 1. Вони дійсно обслуговують запит по http, наприклад, http://webserver.example.com 2. Але відразу редіректять цей запит на щось типу https://webserver.example.com/account/default/login-form. І далі вже працюють виключно через https. Наперед дякую за пояснення. -- Regards, /oleh hrynchuk