Removendo o “s” no HTTPS

0

Recentemente, um amigo meu me perguntou se eu poderia fazer algumas verificações básicas de segurança em seu site. O URL segue as linhas de https://www.example.com , mas depois de remover o "s" no final do "https", o site simplesmente me redireciona para www.example.com . Antes de fornecê-lo com informações falsas, estou assumindo que isso é uma enorme vulnerabilidade - já que ele lida com informações de cartão de crédito de seus clientes. Eu estou exagerando? Qual é o tamanho de um problema?

O site deve idealmente enviar um erro ou redirecionar para a versão HTTPS do site. Estou certo com o meu pensamento? Obrigado

    
por Argentum 27.10.2016 / 12:09

2 respostas

1

after removing the "s" at the end of the "https" the site simply redirects me to "www.example.com"

Remover manualmente os "s" significa que você está explicitamente visitando http://www.example.com (ou seja, a versão não SSL) .

Agora, o que acontece é que a maioria dos navegadores oculta a parte http:// na barra de endereços para facilitar a leitura ( http:// é apenas confusão de techno para as pessoas mais comuns). Por isso, ele não exibe o http:// na frente da URL, mas ainda está lá.

Então, na verdade, não está redirecionando você para lugar algum. Na verdade, não existe redirecionamento para www.example.com sem um prefixo de protocolo como http:// . Se você vir www.example.com na barra de endereço e selecionar todos os + copy + paste, verá que o prefixo http:// ainda está lá. E se você digitar www.example.com manualmente sem nenhum prefixo de protocolo, seu navegador assumirá automaticamente um prefixo http:// implícito.

Quanto à parte de vulnerabilidade: qualquer site que lide com informações confidenciais (ou talvez qualquer site em geral, dependendo de como você é paranóico) deve aplicar o SSL, nem mesmo suportar ou permitir visitas por http:// , apenas https:// .

Desde a chegada de Vamos criptografar todos podem usar o SSL em seu site gratuitamente. Então basicamente não há razão não para usar SSL.

Pessoalmente, uso Vamos criptografar em todos os lugares, em todos os sites que eu hospedo ou gerencio. E garanto que todas as visitas não SSL (ou seja, sempre que alguém visitar a página com http:// em vez de https:// ) serão redirecionadas automaticamente para a URL https:// correspondente.

Existem maneiras diferentes de fazer isso, mas provavelmente a maneira mais fácil é colocar um arquivo chamado .htaccess no seu public_html/ dir com este conteúdo:

RewriteEngine On
RewriteCond %{HTTPS} !=on [OR]
RewriteCond %{SERVER_PORT} 80
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L,QSA]

O que isso faz é direcionar qualquer solicitação que não use SSL para a mesma URL com SSL.

    
por 27.10.2016 / 12:31
0

Sim, qualquer site que manuseie informações confidenciais deve ser executado em HTTPS. Rodar em HTTP é arriscado. Então, você está certo, ele deve redirecionar para HTTPS automaticamente.

    
por 27.10.2016 / 12:30

Tags