我正在尝试使用此类网址访问安全网站:https://securenet.someBank.com。一切都很好,我会看到登录页面。现在,当我输入时:
http://securenet.someBank.com(即http而不是https)我希望在浏览器中找回https页面。 (例如,当你说:http://mail.yahoo.com时,你会回来https://mail.yahoo.com) 但在这种情况下,https :: //securenet.someBank.com只是说:页面无法显示。
那么网站开发人员在实施安全性方面做错了什么?我只是好奇。我认为这种事情(http - > https重定向)是由Web服务器自动处理的,网站开发人员甚至不需要做任何事情。但显然事实并非如此。
答案 0 :(得分:1)
从HTTP到HTTPS的重定向仅仅是用户的便利。
正如我在网站管理员的this answer中所说,只有最终用户可以检查是否完全使用了HTTPS,以及是否正确使用了HTTPS。否则,MITM攻击者可能会阻止初始重定向发生。
这些自动重定向仅在没有MITM执行此类攻击的假设下才有用。它们对于让用户习惯在应该是安全的页面上看到HTTPS非常有用,但无论发生什么情况,用户都应该检查他们连接的内容。因此,我不一定会将缺少这样的重定向称为开发人员或系统管理员的错误。
作为用户,您应始终为您应该使用的网站添加书签并使用https://地址。
[...]
https://securenet.someBank.com。一切都很好,我会看到登录页面。 [...] 但在这种情况下,https:://securenet.someBank.com只是说:页面无法显示。
在这里,假设双::在你的问题中是一个拼写错误,你似乎自相矛盾。如果https://securenet.someBank.com只是说“页面无法显示”,那确实是错误的。
答案 1 :(得分:1)
除了上面布鲁诺的推荐,我建议你阅读以下内容:
https://www.owasp.org/index.php/HTTP_Strict_Transport_Security
你可以做两件事:
1)强制HTTP严格传输安全性 2)按照该页面上的示例所述进行永久重定向。
有任何问题,请告诉我。
的Fabio @fcerullo
答案 2 :(得分:0)
可能是错误的服务器配置。例如,在apache中,必须在httpd.conf文件中定义重定向选项,以便自动重定向到页面的https URL。