La redirection de http vers https est-elle une mauvaise idée?

Question

Je suis en train de lire sur cette page et il est dit que si un site est de SSL et de l'utilisateur tente d'accéder via http, l'application ne doit pas rediriger l'utilisateur vers https. Il faut juste lui bloquer. Quelqu'un peut-il vérifier la validité de cette? Il ne sonne pas comme une bonne idée, et je me demande quel est le risque réel est que de la redirection de l'utilisateur vers https. Il semble qu'il n'y a pas de raison technique derrière, c'est juste que c'est une bonne façon d'éduquer l'utilisateur.

Désactiver l'accès HTTP au domaine, n'ont même pas de redirection ou de le lier à SSL. Juste informer les utilisateurs de ce site web est pas accessible via HTTP, et ils ont pour y accéder via le protocole SSL.

C'est la meilleure pratique contre MITM et les attaques de phishing. De cette façon, votre les utilisateurs seront informés qu' demande jamais accessible sur HTTP et quand ils viennent à travers un phishing ou attaque de type MITM ils sauront quelque chose est faux.

Une des meilleures façons de protéger votre application contre les attaques de type MITM et les attaques de phishing est l'éducation de vos les utilisateurs.

Answer 1

Une requête HTTP qui comprend un cookie de session est sujet à des attaques de détournement de session. Il est important que si vous autorisez HTTP et redirection vers HTTPS, que les cookies sont marqués comme sécurisés.

Je ne vois aucune raison technique HTTP doit être complètement bloqué, et beaucoup de sites avant de HTTP vers HTTPS. En faisant cela, il est fortement conseillé de mettre en œuvre des HTTP Strict Transport Security (HSTS) qui est un web mécanisme de sécurité qui déclare que les navigateurs sont à utiliser uniquement les connexions HTTPS.

HSTS est mis en œuvre par la spécification d'un en-tête de réponse comme Strict-Transport-Security: max-age=31536000. En respectant les agents utilisateurs se mettra automatiquement en liens insécurité en sécurité les liens, réduisant ainsi le risque de man-in-the-middle attaques. En outre, si il y a un risque que le certificat n'est pas sûr, par exemple, la racine de l'autorité n'est pas reconnue, alors un message d'erreur est affiché et la réponse n'est pas montré.

Answer 2

Va de HTTP à HTTPS est effectivement une bonne idée. Par exemple, un attaquant pourrait faire un man-in-the-middle attaques à l'aide d'un outil comme ssl bande. Pour résoudre ce problème, vous devez utiliser le protocole HSTS. Il est pris en charge par tous les principaux navigateurs (Internet Explorer, qui est la dernière adoptant, est de le soutenir à partir de IE12), et utilisé par de nombreux des meilleurs sites (par exemple, Paypal, Google).

Answer 3

Je ne vois pas de risque technique (à l'exception de celui de la mise à jour à la fin de ma réponse) sur la redirection HTTP vers HTTPS. Par exemple, gmail et yahoo mail pour le faire. Vous pouvez le vérifier en utilisant un HTTP outil de débogage (comme Fiddler), où vous pouvez clairement la redirection 302 réponse retournée par le serveur.

Je crois que le blocage est une mauvaise idée à partir d'un point de vue de l'utilisabilité. De nombreux utilisateurs sont la saisie d'une adresse dans le navigateur sans en spécifiant l'adresse HTTP ou HTTPS. Par exemple, j'ai accès à gmail en tapant "mail.google.com" par défaut "http://mail.google.com" et qui est automatiquement redirigé vers "https://mail.google.com". Sans la redirection automatique je vais toujours avoir à taper l'adresse du site.

Je suis d'accord avec la citation de l'article que le HTTPS est la meilleure méthode contre les attaques de type MITM, mais je ne suis pas d'accord que c'est la meilleure pratique contre le phishing. L'utilisateur de l'éducation est en effet un facteur clé contre les attaques de phishing (les utilisateurs doivent vérifier qu'il accède au site à partir du domaine correct), mais en aucun cas ne vous apporter que l'éducation par le blocage de redirection HTTP vers HTTPS.

Mise à jour @Pedro et @Spolto sont à droite. Des précautions particulières doivent être prises sensibles, les cookies (comme la session ou cookies d'authentification), qui d'ailleurs devraient être marqués comme sécurisés, de sorte qu'ils ne seront transmises via le protocole HTTPS. J'ai raté celui-là. +1 à la fois vous les gars.

Answer 4

J'ai seulement remarqué à cette question, mais j'ai écrit un couple de réponses à des questions similaires:

• Webmasters.SE: Comment empêcher l'accès au site web sans connexion SSL?
• Force HTTPS pour une URL spécifique

Je ne pense pas que la redirection HTTP vers le HTTPS est nécessairement dangereux, mais cela devrait être fait carfully. Ce qui est important, c'est que vous ne devriez pas compter sur ces redirections automatiques à être présent lors de la phase de développement. Ils doivent être utilisés au mieux pour les utilisateurs qui tapent l'adresse dans le navigateur par eux-mêmes.

C'est aussi la seule responsabilité de l'utilisateur de vérifier qu'ils sont en utilisant le protocole HTTPS (et que le certificat est vérifiée sans avertissement) quand ils s'attendent.

Les risques réels d'une commutation de HTTP à HTTPS, c'est que vous pouvez de manière fiable, de confiance ce qui a été fait avant le switch, si vous choisissez de conserver la session. Le flux et le processus de votre site web devrait prendre cela en compte.

Par exemple, si l'utilisateur navigue sur votre site de shopping et ajoute divers éléments dans le panier à l'aide de HTTP, et que vous envisagez d'utiliser le protocole HTTPS pour obtenir les détails de paiement, vous devez également permettre à l'utilisateur de confirmer le contenu de leur panier à l'aide du protocole HTTPS.

En outre, lors de la commutation de HTTP à HTTPS, vous pourriez avoir à se ré-authentifier l'utilisateur et à jeter la plaine HTTP identifiant de session, le cas échéant. Sinon, un attaquant peut être en mesure d'utiliser ce cookie pour vous rendre à l'adresse HTTPS section du site trop et, potentiellement, d'usurper l'identité d'un utilisateur légitime.

Answer 5

D'un point de vue technique, il n'y a pas d'incidence secondaire en dehors de ce que prend HTTPS.

Du point de vue de UX / UI, il est conseillé d’utiliser une redirection par clic ou une redirection retardée, en fournissant une indication visuelle pour demander aux personnes qui tapent l’URL HTTPS en premier lieu, car la redirection elle-même est sujette aux attaques de MITM. Cependant, peu de sites HTTPS le font, car ils fournissent des éléments visuels invitant les utilisateurs à rechercher l'icône de cadenas sur le navigateur sur leurs pages HTTPS.