Привіт,

Технічно є така опція у браузерах -  https only mode, але вона не дефолт он, тому ні, енфорсити цього не можуть, бо це суттєво знижує юзер експірієнс.

HSTS працює таким чином:

1. ти робиш http ріквест
2. тобі повертається редирект із опцією hsts
3. браузер сейвить, що цей сайт тепер завжди по https і більше до нього по http не ходить

Це ще не все :)

Коли у тебе буде проблемний серт (outdated, self signed, other site), браузер відмовиться завантажувати контент із месседжем, що на сайті увімкнено стрікт секьюріті. Це досить кумедно виглядає, коли заходиш через паблік wifi w/captive poral'ом, який редиректить тебе self signed cert'ом на себе для автентифікації, а браузер - караул :)

On 08/06/23 15:09, Oleh Hrynchuk wrote:


чт, 8 черв. 2023 р. о 12:43 Volodymyr Litovka <doka@funlab.cc> пише:
Я б сказав, що використання https є гарною практикою взагалі й тому завжди ставлю redirect з 80-го порту на 443-й, не керуючись ніякими документами.


Володю, в тому-то й питання, що "аудитна тулза" це порахувала за недостатнє.
Вона не хоче redirect з 80-го порту на 443-й. Вона хоче blocked port 80 і використання ВИКЛЮЧНО port 443.

Прошу вибачення, якщо надто складно сформулював питання.



On June 8, 2023 6:21:24 AM GMT+02:00, Oleh Hrynchuk <oleh.hrynchuk@gmail.com> wrote:
Доброго ранку, колеги.

Одна канторка робить нам аудит (готує до SOC)
І викотила одним із зауважень отаке:

Site does not enforce HTTPS (-8,1 score impact)

Recommendation
Any site served to a user (possibly at the end of a redirect chain) should be served over HTTPS.
(list of web-servers omitted)


То питання.
Я ніде не знайшов явних вимог що взагалі слід відмовитися від використання http --> https redirects.
Всеодно вся інформація від сервера повертається через https.

То чому ставиться така вимога (прибрати взагалі саму можливість обслуговування сервером клієнтських http requests)?

Наскільки логічна така вимога аудиторів?
(Ще й немалий бал знімають за це...)

Додам ще, що усі такі web-servers зі списку характеризуються однією спільною ознакою:

1. Вони дійсно обслуговують запит по http, наприклад, http://webserver.example.com
2. Але відразу редіректять цей запит на щось типу https://webserver.example.com/account/default/login-form. І далі вже працюють виключно через https.


Наперед дякую за пояснення.

_______________________________________________
uanog mailing list
uanog@uanog.kiev.ua
https://mailman.uanog.kiev.ua/mailman/listinfo/uanog


--
Regards,
/oleh hrynchuk

_______________________________________________
uanog mailing list
uanog@uanog.kiev.ua
https://mailman.uanog.kiev.ua/mailman/listinfo/uanog