Hello! On Thu, 08 Jun 2023 at 15:09:51 (+0300), Oleh Hrynchuk wrote:
Я б сказав, що використання https є гарною практикою взагалі й тому завжди ставлю redirect з 80-го порту на 443-й, не керуючись ніякими документами.
Володю, в тому-то й питання, що "аудитна тулза" це порахувала за недостатнє. Вона не хоче redirect з 80-го порту на 443-й. Вона хоче blocked port 80 і використання ВИКЛЮЧНО port 443.
Так суперечать же самі собі, imho: [--- cut ---] *Recommendation* Any site served to a user (possibly at the end of a redirect chain) should be served over HTTPS. (list of web-servers omitted) [--- cut ---] Або ж десь на https сторінках є посилання на http url'и без редіректу на https.
Прошу вибачення, якщо надто складно сформулював питання.
On June 8, 2023 6:21:24 AM GMT+02:00, Oleh Hrynchuk < oleh.hrynchuk@gmail.com> wrote:
Доброго ранку, колеги.
Одна канторка робить нам аудит (готує до SOC) І викотила одним із зауважень отаке:
*Site does not enforce HTTPS (-8,1 score impact)*
*Recommendation* Any site served to a user (possibly at the end of a redirect chain) should be served over HTTPS. (list of web-servers omitted)
То питання. Я ніде не знайшов явних вимог що взагалі слід відмовитися від використання http --> https redirects. Всеодно вся інформація від сервера повертається через https.
То чому ставиться така вимога (прибрати взагалі саму можливість обслуговування сервером клієнтських http requests)?
*Наскільки логічна така вимога аудиторів?* (Ще й немалий бал знімають за це...)
Додам ще, що усі такі web-servers зі списку характеризуються однією спільною ознакою:
1. Вони дійсно обслуговують запит по http, наприклад, http://webserver.example.com 2. Але відразу редіректять цей запит на щось типу https://webserver.example.com/account/default/login-form. І далі вже працюють виключно через https.
Наперед дякую за пояснення.
_______________________________________________ uanog mailing list uanog@uanog.kiev.ua https://mailman.uanog.kiev.ua/mailman/listinfo/uanog
-- George L. Yermulnik [YZ-RIPE]