网页安全 - http、https、hsts

【问题标题】:Web page security - http, https, hsts网页安全 - http、https、hsts
【发布时间】:2020-01-13 18:48:02
【问题描述】:

我有网络服务器 IIS,我可以直接访问像 (page.com) 这样的页面,这就是我允许 HTTP(端口 80)然后我使用 HTTPS(端口 443)的原因。 当用户在端口 80 (page.com) 上进入页面时,他将被重定向到 HTTPS (443)。所以我的网络服务器使用带有长 max-age 参数的 HSTS(防御ssl strip)。

这样使用 HSTS 标头我的页面是否安全?如果没有,我该怎么办?

非常感谢!

【问题讨论】:

    标签: http security https hsts


    【解决方案1】:

    和往常一样,这个问题是针对什么安全的?在使用 HSTS 的第一个响应之后(以及在它过期之前)防止 ssl 剥离 ?是的。在第一个请求(或 HSTS 过期后的第一个请求)上防止 ssl 剥离?否。是否能抵御一系列不同的攻击?不一定(第一次请求时的 dns 劫持、公司 ssl 检查、客户端中的流氓根证书、恶意软件......这个列表是无穷无尽的)。

    你能让它更安全吗?是的,通过完全禁用普通 http。这在你的场景中有意义吗?只有你自己知道。

    【讨论】:

    • 为什么禁用 HTTP 会使其更安全?如果担心消息被拦截,攻击者可以伪造 HTTP 服务器并为您做出响应。
    • @BarryPollard 当然你是对的。唯一的问题是,依靠自动重定向到安全站点而不是最初请求的不安全站点感觉不对。以链接为例。假设我有example.com。如果 有效,几乎每个人都会链接到 http://example.com 吗?他们当然会。如果这是唯一的方法,他们会链接到https 吗?可能是的,然后网络是一个更好的地方。 :)
    猜你喜欢
    • 2013-03-07
    • 2015-09-14
    • 2021-09-16
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2018-03-21
    • 2012-12-26
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode