What is the best practices (http to https redirect chain VS https only) ?

newer
Лінь - рушій прогресу. Міграція...

Oleh Hrynchuk

8 Jun 2023 8 Jun '23

4:21 a.m.

Доброго ранку, колеги. Одна канторка робить нам аудит (готує до SOC) І викотила одним із зауважень отаке: *Site does not enforce HTTPS (-8,1 score impact)* *Recommendation* Any site served to a user (possibly at the end of a redirect chain) should be served over HTTPS. (list of web-servers omitted) То питання. Я ніде не знайшов явних вимог що взагалі слід відмовитися від використання http --> https redirects. Всеодно вся інформація від сервера повертається через https. То чому ставиться така вимога (прибрати взагалі саму можливість обслуговування сервером клієнтських http requests)? *Наскільки логічна така вимога аудиторів?* (Ще й немалий бал знімають за це...) Додам ще, що усі такі web-servers зі списку характеризуються однією спільною ознакою: 1. Вони дійсно обслуговують запит по http, наприклад, http://webserver.example.com 2. Але відразу редіректять цей запит на щось типу https://webserver.example.com/account/default/login-form. І далі вже працюють виключно через https. Наперед дякую за пояснення. -- Regards, /oleh hrynchuk

Attachments:

attachment.html (text/html — 2.0 KB)

Show replies by date

Volodymyr Sharun

8 Jun 8 Jun

7 a.m.

Привіт, https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-S... В http request'ах є кукі/хедери, в які MITM може інжектнути/прочитати/викоритстати проти тебе щось. Не кажучи вже про те, що авторизаційний токен - це зазвичай кука і рідко local storage token, який опитується локально js'ом/підписує ріквести (щоб не використовувати pre shared token). Для підвищення скорінга можна ще на кукі авторизаційного характеру ставити атрибути Secure (не передаються по http) і недоступність для js коду - HttpOnly (протидія XSS'у). https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Set-Cookie On 08/06/23 7:21, Oleh Hrynchuk wrote:

...

Доброго ранку, колеги.

Одна канторка робить нам аудит (готує до SOC) І викотила одним із зауважень отаке:

*Site does not enforce HTTPS (-8,1 score impact)*

*Recommendation* Any site served to a user (possibly at the end of a redirect chain) should be served over HTTPS. (list of web-servers omitted)

То питання. Я ніде не знайшов явних вимог що взагалі слід відмовитися від використання http --> https redirects. Всеодно вся інформація від сервера повертається через https.

То чому ставиться така вимога (прибрати взагалі саму можливість обслуговування сервером клієнтських http requests)?

*Наскільки логічна така вимога аудиторів?* (Ще й немалий бал знімають за це...)

Додам ще, що усі такі web-servers зі списку характеризуються однією спільною ознакою:

1. Вони дійсно обслуговують запит по http, наприклад, http://webserver.example.com 2. Але відразу редіректять цей запит на щось типу https://webserver.example.com/account/default/login-form. І далі вже працюють виключно через https.

Наперед дякую за пояснення.

-- Regards, /oleh hrynchuk

_______________________________________________ uanog mailing list uanog@uanog.kiev.ua https://mailman.uanog.kiev.ua/mailman/listinfo/uanog

Maksym Tulyuk

8:43 a.m.

Привіт Існує вже 10 років ось таке: RFC6797 HTTP Strict Transport Security (HSTS) Abstract This specification defines a mechanism enabling web sites to declare themselves accessible only via secure connections and/or for users to be able to direct their user agent(s) to interact with given sites only over secure connections. This overall policy is referred to as HTTP Strict Transport Security (HSTS). The policy is declared by web sites via the Strict-Transport-Security HTTP response header field and/or by other means, such as user agent configuration, for example. Ось наприклад user guide for USA federal government: https://https.cio.gov/hsts/ Максим

...

On 8 Jun 2023, at 06:21, Oleh Hrynchuk wrote:

Доброго ранку, колеги.

Одна канторка робить нам аудит (готує до SOC) І викотила одним із зауважень отаке:

Site does not enforce HTTPS (-8,1 score impact)

Recommendation Any site served to a user (possibly at the end of a redirect chain) should be served over HTTPS. (list of web-servers omitted)

То питання. Я ніде не знайшов явних вимог що взагалі слід відмовитися від використання http --> https redirects. Всеодно вся інформація від сервера повертається через https.

То чому ставиться така вимога (прибрати взагалі саму можливість обслуговування сервером клієнтських http requests)?

Наскільки логічна така вимога аудиторів? (Ще й немалий бал знімають за це...)

Додам ще, що усі такі web-servers зі списку характеризуються однією спільною ознакою:

1. Вони дійсно обслуговують запит по http, наприклад, http://webserver.example.com http://webserver.example.com/ 2. Але відразу редіректять цей запит на щось типу https://webserver.example.com/account/default/login-form https://webserver.example.com/account/default/login-form. І далі вже працюють виключно через https.

Наперед дякую за пояснення.

-- Regards, /oleh hrynchuk _______________________________________________ uanog mailing list uanog@uanog.kiev.ua https://mailman.uanog.kiev.ua/mailman/listinfo/uanog

Volodymyr Litovka

9:43 a.m.

Я б сказав, що використання https є гарною практикою взагалі й тому завжди ставлю redirect з 80-го порту на 443-й, не керуючись ніякими документами. On June 8, 2023 6:21:24 AM GMT+02:00, Oleh Hrynchuk wrote:

...

Доброго ранку, колеги.

Одна канторка робить нам аудит (готує до SOC) І викотила одним із зауважень отаке:

*Site does not enforce HTTPS (-8,1 score impact)*

*Recommendation* Any site served to a user (possibly at the end of a redirect chain) should be served over HTTPS. (list of web-servers omitted)

То питання. Я ніде не знайшов явних вимог що взагалі слід відмовитися від використання http --> https redirects. Всеодно вся інформація від сервера повертається через https.

То чому ставиться така вимога (прибрати взагалі саму можливість обслуговування сервером клієнтських http requests)?

*Наскільки логічна така вимога аудиторів?* (Ще й немалий бал знімають за це...)

Додам ще, що усі такі web-servers зі списку характеризуються однією спільною ознакою:

1. Вони дійсно обслуговують запит по http, наприклад, http://webserver.example.com 2. Але відразу редіректять цей запит на щось типу https://webserver.example.com/account/default/login-form. І далі вже працюють виключно через https.

Наперед дякую за пояснення.

-- Regards, /oleh hrynchuk

Oleh Hrynchuk

9:51 a.m.

О, дякую, Володимире. Ясно. Стосовно HSTS (2Maksym) - ага, в курсі. На ці vulnerabilities в нас окрема секція. Тут зрозуміло. Цікавила саме логіка "чому "чистий" https - нормально, а редірект http-->https - ненормально". Гарного всім дня! чт, 8 черв. 2023 р. о 10:00 Volodymyr Sharun пише:

...

Привіт,

https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-S...

В http request'ах є кукі/хедери, в які MITM може інжектнути/прочитати/викоритстати проти тебе щось. Не кажучи вже про те, що авторизаційний токен - це зазвичай кука і рідко local storage token, який опитується локально js'ом/підписує ріквести (щоб не використовувати pre shared token).

Для підвищення скорінга можна ще на кукі авторизаційного характеру ставити атрибути Secure (не передаються по http) і недоступність для js коду - HttpOnly (протидія XSS'у).

https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Set-Cookie On 08/06/23 7:21, Oleh Hrynchuk wrote:

Доброго ранку, колеги.

Одна канторка робить нам аудит (готує до SOC) І викотила одним із зауважень отаке:

*Site does not enforce HTTPS (-8,1 score impact)*

*Recommendation* Any site served to a user (possibly at the end of a redirect chain) should be served over HTTPS. (list of web-servers omitted)

То питання. Я ніде не знайшов явних вимог що взагалі слід відмовитися від використання http --> https redirects. Всеодно вся інформація від сервера повертається через https.

То чому ставиться така вимога (прибрати взагалі саму можливість обслуговування сервером клієнтських http requests)?

*Наскільки логічна така вимога аудиторів?* (Ще й немалий бал знімають за це...)

Додам ще, що усі такі web-servers зі списку характеризуються однією спільною ознакою:

1. Вони дійсно обслуговують запит по http, наприклад, http://webserver.example.com 2. Але відразу редіректять цей запит на щось типу https://webserver.example.com/account/default/login-form. І далі вже працюють виключно через https.

Наперед дякую за пояснення.

-- Regards, /oleh hrynchuk

_______________________________________________ uanog mailing listuanog@uanog.kiev.uahttps://mailman.uanog.kiev.ua/mailman/listinfo/uanog

_______________________________________________ uanog mailing list uanog@uanog.kiev.ua https://mailman.uanog.kiev.ua/mailman/listinfo/uanog

-- Regards, /oleh hrynchuk

Oleh Hrynchuk

12:09 p.m.

чт, 8 черв. 2023 р. о 12:43 Volodymyr Litovka пише:

...

Я б сказав, що використання https є гарною практикою взагалі й тому завжди ставлю redirect з 80-го порту на 443-й, не керуючись ніякими документами.

Володю, в тому-то й питання, що "аудитна тулза" це порахувала за недостатнє. Вона не хоче redirect з 80-го порту на 443-й. Вона хоче blocked port 80 і використання ВИКЛЮЧНО port 443. Прошу вибачення, якщо надто складно сформулював питання.

...

On June 8, 2023 6:21:24 AM GMT+02:00, Oleh Hrynchuk < oleh.hrynchuk@gmail.com> wrote:

...
Доброго ранку, колеги.

Одна канторка робить нам аудит (готує до SOC) І викотила одним із зауважень отаке:

*Site does not enforce HTTPS (-8,1 score impact)*

*Recommendation* Any site served to a user (possibly at the end of a redirect chain) should be served over HTTPS. (list of web-servers omitted)

То питання. Я ніде не знайшов явних вимог що взагалі слід відмовитися від використання http --> https redirects. Всеодно вся інформація від сервера повертається через https.

То чому ставиться така вимога (прибрати взагалі саму можливість обслуговування сервером клієнтських http requests)?

*Наскільки логічна така вимога аудиторів?* (Ще й немалий бал знімають за це...)

Додам ще, що усі такі web-servers зі списку характеризуються однією спільною ознакою:

1. Вони дійсно обслуговують запит по http, наприклад, http://webserver.example.com 2. Але відразу редіректять цей запит на щось типу https://webserver.example.com/account/default/login-form. І далі вже працюють виключно через https.

Наперед дякую за пояснення.

_______________________________________________ uanog mailing list uanog@uanog.kiev.ua https://mailman.uanog.kiev.ua/mailman/listinfo/uanog

-- Regards, /oleh hrynchuk

Volodymyr Litovka

12:13 p.m.

А, бляха, це вічна хєрня з аудітними тулзами, боюся, що тут треба тільки пояснювати. В конторі, на яку я зараз працюю, використовується аудитна тулза - Astra Security щось там - то я тупо відкриваю тікет на exception для певних ситуацій. On 6/8/23 2:09 pm, Oleh Hrynchuk wrote:

...

чт, 8 черв. 2023 р. о 12:43 Volodymyr Litovka пише:

Я б сказав, що використання https є гарною практикою взагалі й тому завжди ставлю redirect з 80-го порту на 443-й, не керуючись ніякими документами.

Володю, в тому-то й питання, що "аудитна тулза" це порахувала за недостатнє. Вона не хоче redirect з 80-го порту на 443-й. Вона хоче blocked port 80 і використання ВИКЛЮЧНО port 443.

Прошу вибачення, якщо надто складно сформулював питання.

On June 8, 2023 6:21:24 AM GMT+02:00, Oleh Hrynchuk wrote:

Доброго ранку, колеги.

Одна канторка робить нам аудит (готує до SOC) І викотила одним із зауважень отаке:

*Site does not enforce HTTPS (-8,1 score impact)*

*Recommendation* Any site served to a user (possibly at the end of a redirect chain) should be served over HTTPS. (list of web-servers omitted)

То питання. Я ніде не знайшов явних вимог що взагалі слід відмовитися від використання http --> https redirects. Всеодно вся інформація від сервера повертається через https.

То чому ставиться така вимога (прибрати взагалі саму можливість обслуговування сервером клієнтських http requests)?

*Наскільки логічна така вимога аудиторів?* (Ще й немалий бал знімають за це...)

Додам ще, що усі такі web-servers зі списку характеризуються однією спільною ознакою:

1. Вони дійсно обслуговують запит по http, наприклад, http://webserver.example.com 2. Але відразу редіректять цей запит на щось типу https://webserver.example.com/account/default/login-form. І далі вже працюють виключно через https.

Наперед дякую за пояснення.

_______________________________________________ uanog mailing list uanog@uanog.kiev.ua https://mailman.uanog.kiev.ua/mailman/listinfo/uanog

-- Regards, /oleh hrynchuk

-- Volodymyr Litovka "Vision without Execution is Hallucination." -- Thomas Edison

George L. Yermulnik

12:14 p.m.

Hello! On Thu, 08 Jun 2023 at 15:09:51 (+0300), Oleh Hrynchuk wrote:

...

...
Я б сказав, що використання https є гарною практикою взагалі й тому завжди ставлю redirect з 80-го порту на 443-й, не керуючись ніякими документами.

...

Володю, в тому-то й питання, що "аудитна тулза" це порахувала за недостатнє. Вона не хоче redirect з 80-го порту на 443-й. Вона хоче blocked port 80 і використання ВИКЛЮЧНО port 443.

Так суперечать же самі собі, imho: [--- cut ---] *Recommendation* Any site served to a user (possibly at the end of a redirect chain) should be served over HTTPS. (list of web-servers omitted) [--- cut ---] Або ж десь на https сторінках є посилання на http url'и без редіректу на https.

...

Прошу вибачення, якщо надто складно сформулював питання.

...

...
On June 8, 2023 6:21:24 AM GMT+02:00, Oleh Hrynchuk < oleh.hrynchuk@gmail.com> wrote:

...

...
...
Доброго ранку, колеги.

...

...
...
Одна канторка робить нам аудит (готує до SOC) І викотила одним із зауважень отаке:

...

...
...
*Site does not enforce HTTPS (-8,1 score impact)*

...

...
...
*Recommendation* Any site served to a user (possibly at the end of a redirect chain) should be served over HTTPS. (list of web-servers omitted)

...

...
...
То питання. Я ніде не знайшов явних вимог що взагалі слід відмовитися від використання http --> https redirects. Всеодно вся інформація від сервера повертається через https.

...

...
...
То чому ставиться така вимога (прибрати взагалі саму можливість обслуговування сервером клієнтських http requests)?

...

...
...
*Наскільки логічна така вимога аудиторів?* (Ще й немалий бал знімають за це...)

...

...
...
Додам ще, що усі такі web-servers зі списку характеризуються однією спільною ознакою:

...

...
...
1. Вони дійсно обслуговують запит по http, наприклад, http://webserver.example.com 2. Але відразу редіректять цей запит на щось типу https://webserver.example.com/account/default/login-form. І далі вже працюють виключно через https.

...

...
...
Наперед дякую за пояснення.

...

...
...
_______________________________________________ uanog mailing list uanog@uanog.kiev.ua https://mailman.uanog.kiev.ua/mailman/listinfo/uanog

-- George L. Yermulnik [YZ-RIPE]

Volodymyr Sharun

12:20 p.m.

Привіт, Технічно є така опція у браузерах - https only mode, але вона не дефолт он, тому ні, енфорсити цього не можуть, бо це суттєво знижує юзер експірієнс. HSTS працює таким чином: 1. ти робиш http ріквест 2. тобі повертається редирект із опцією hsts 3. браузер сейвить, що цей сайт тепер завжди по https і більше до нього по http не ходить Це ще не все :) Коли у тебе буде проблемний серт (outdated, self signed, other site), браузер відмовиться завантажувати контент із месседжем, що на сайті увімкнено стрікт секьюріті. Це досить кумедно виглядає, коли заходиш через паблік wifi w/captive poral'ом, який редиректить тебе self signed cert'ом на себе для автентифікації, а браузер - караул :) On 08/06/23 15:09, Oleh Hrynchuk wrote:

...

чт, 8 черв. 2023 р. о 12:43 Volodymyr Litovka пише:

Я б сказав, що використання https є гарною практикою взагалі й тому завжди ставлю redirect з 80-го порту на 443-й, не керуючись ніякими документами.

Володю, в тому-то й питання, що "аудитна тулза" це порахувала за недостатнє. Вона не хоче redirect з 80-го порту на 443-й. Вона хоче blocked port 80 і використання ВИКЛЮЧНО port 443.

Прошу вибачення, якщо надто складно сформулював питання.

On June 8, 2023 6:21:24 AM GMT+02:00, Oleh Hrynchuk wrote:

Доброго ранку, колеги.

Одна канторка робить нам аудит (готує до SOC) І викотила одним із зауважень отаке:

*Site does not enforce HTTPS (-8,1 score impact)*

*Recommendation* Any site served to a user (possibly at the end of a redirect chain) should be served over HTTPS. (list of web-servers omitted)

То питання. Я ніде не знайшов явних вимог що взагалі слід відмовитися від використання http --> https redirects. Всеодно вся інформація від сервера повертається через https.

То чому ставиться така вимога (прибрати взагалі саму можливість обслуговування сервером клієнтських http requests)?

*Наскільки логічна така вимога аудиторів?* (Ще й немалий бал знімають за це...)

Додам ще, що усі такі web-servers зі списку характеризуються однією спільною ознакою:

1. Вони дійсно обслуговують запит по http, наприклад, http://webserver.example.com 2. Але відразу редіректять цей запит на щось типу https://webserver.example.com/account/default/login-form. І далі вже працюють виключно через https.

Наперед дякую за пояснення.

_______________________________________________ uanog mailing list uanog@uanog.kiev.ua https://mailman.uanog.kiev.ua/mailman/listinfo/uanog

-- Regards, /oleh hrynchuk

_______________________________________________ uanog mailing list uanog@uanog.kiev.ua https://mailman.uanog.kiev.ua/mailman/listinfo/uanog

Oleh Hrynchuk

1:54 p.m.

чт, 8 черв. 2023 р. о 15:14 George L. Yermulnik пише:

...

Hello!

On Thu, 08 Jun 2023 at 15:09:51 (+0300), Oleh Hrynchuk wrote:

...
...
Я б сказав, що використання https є гарною практикою взагалі й тому завжди ставлю redirect з 80-го порту на 443-й, не керуючись ніякими документами.

...
Володю, в тому-то й питання, що "аудитна тулза" це порахувала за недостатнє. Вона не хоче redirect з 80-го порту на 443-й. Вона хоче blocked port 80 і використання ВИКЛЮЧНО port 443.

Так суперечать же самі собі, imho: [--- cut ---] *Recommendation* Any site served to a user (possibly at the end of a redirect chain) should be served over HTTPS. (list of web-servers omitted) [--- cut ---]

Ну, враховуючи сентенцію в дужках "(possibly at the end of a redirect chain)" ніби нема суперечності. Але так... згоден, що у відриві від змісту ВСЬОГО report'a це звучить неочевидно. Так. Увесь report, на жаль, звісно не можу надати... з очевидних причин.. Скажу лише що перебрали купу тулзів та хмарних рішень. Спочатку зупинилися на https://portal.intruder.io/ (скоро відмовимося, бо з нього стартували, це гарна тулза, вельми інтуїтивно зрозуміла, але "не копає" НЕ досить глибоко. А нам треба саме "дуже глибоко"). Потім перейшли на https://app.orcasecurity.io - і мабуть будемо й надалі використовувати. Бо окрім "глибокості копання" дуже гарно інтегрується з AWS. Але неінтуїтивна, має ще баги в інтерфейсі (хоча їхня команда чесно це визнає, просить рапортувати і йде на різноманітні знижки). Ще є й інші тулзи, котрі точково використовуватимемо в інших місцях ІТ-інфраструктури. Або ж десь на https сторінках є посилання на http url'и без редіректу на

...

https.

Можливо. Так. Всі ще не перевірив. Але серед тих, котрі перевірив (і котрі є в списку "хренових") - саме сам факт редіректа http-->https визнається "хреновим". 20 сайтів таких. На них зрізали 8,1 балів. Це дуже дохрена в загальній картині. Бо ~20 балів нам якраз і не вистачає до "повного ажура".

...

...
Прошу вибачення, якщо надто складно сформулював питання.

...
...
On June 8, 2023 6:21:24 AM GMT+02:00, Oleh Hrynchuk < oleh.hrynchuk@gmail.com> wrote:

...
...
...
Доброго ранку, колеги.

...
...
...
Одна канторка робить нам аудит (готує до SOC) І викотила одним із зауважень отаке:

...
...
...
*Site does not enforce HTTPS (-8,1 score impact)*

...
...
...
*Recommendation* Any site served to a user (possibly at the end of a redirect chain) should be served over HTTPS. (list of web-servers omitted)

...
...
...
То питання. Я ніде не знайшов явних вимог що взагалі слід відмовитися від використання http --> https redirects. Всеодно вся інформація від сервера повертається через https.

...
...
...
То чому ставиться така вимога (прибрати взагалі саму можливість обслуговування сервером клієнтських http requests)?

...
...
...
*Наскільки логічна така вимога аудиторів?* (Ще й немалий бал знімають за це...)

...
...
...
Додам ще, що усі такі web-servers зі списку характеризуються однією спільною ознакою:

...
...
...
1. Вони дійсно обслуговують запит по http, наприклад, http://webserver.example.com 2. Але відразу редіректять цей запит на щось типу https://webserver.example.com/account/default/login-form. І далі вже працюють виключно через https.

...
...
...
Наперед дякую за пояснення.

...
...
...
_______________________________________________ uanog mailing list uanog@uanog.kiev.ua https://mailman.uanog.kiev.ua/mailman/listinfo/uanog

-- George L. Yermulnik [YZ-RIPE] _______________________________________________ uanog mailing list uanog@uanog.kiev.ua https://mailman.uanog.kiev.ua/mailman/listinfo/uanog

-- Regards, /oleh hrynchuk

466

Age (days ago)

466

Last active (days ago)

List overview

Download

9 comments

5 participants

participants (5)

George L. Yermulnik
Maksym Tulyuk
Oleh Hrynchuk
Volodymyr Litovka
Volodymyr Sharun

What is the best practices (http to https redirect chain VS https only) ?

tags

participants (5)