Reconfiguração de URL do IIS - Redireciona qualquer tráfego HTTPS para subdomínio

3

Nosso ambiente de hospedagem determina toda a viagem segura de tráfego de música em um subdomínio específico.

Estamos usando o .NET CMS Umbraco, que, até onde sei, não tem nenhuma funcionalidade para 'atribuir' uma página específica a um subdomínio.

O cenário é:

  1. Nossos sites contêm 1 página e 1 pasta contendo subpáginas que devem ser seguras
  2. Um usuário solicita / página ou / página2 / subpágina
  3. Esse tráfego é redirecionado para HTTPS se a solicitação vier de HTTP
  4. Se o HTTP_HOST não contiver o subdomínio seguro. em seguida, adicione-o, caso contrário, prossiga

Por exemplo

Solicitar é igual a / page2 / page
301 redirecionar para https: // secure. {Http_host} / {request}
Solicitação subseqüente deve então ser ignorada (para evitar loop)

link
https: // domain.com/page = > subdomínio inserido, link

Na minha opinião, a lógica é:

INPUT = URL completo = link

Se o INPUT contiver HTTPS Em seguida, verifique o URL completo, ele contém 'seguro'? Se SIM não fizer nada, se não adicionar 'seguro'

-

Atualização 1, 19 de agosto

Tendo pensado nisso, reuni duas regras que são um passo na direção certa:

É isso que proponho:

Uma regra para forçar determinado tráfego para o domínio seguro:

<rule name="Force 'Umbraco' to secure" stopProcessing="true">
    <conditions logicalGrouping="MatchAll">
        <add input="{REQUEST_URI}" pattern="^/umbraco/(.+)$" ignoreCase="true" />
        <add input="{HTTP_HOST}" negate="true" pattern="^secure\.(.+)$" />
    </conditions>
    <action type="Redirect" url="https://secure.{HTTP_HOST}/{R:0}" redirectType="Permanent" />
</rule>

Outra regra, que remove o domínio seguro e espera tráfego no domínio seguro.

<rule name="Remove secure, expect for Umbraco" stopProcessing="true">
    <match url="(.*)" ignoreCase="true" />
    <conditions logicalGrouping="MatchAll">
        <add input="{HTTP_HOST}" pattern="^secure\.(.+)$" />
        <add input="{REQUEST_URI}" negate="true" pattern="^/umbraco/(.+)$" ignoreCase="true" />
    </conditions>
    <!-- Set Domain to match environment -->
    <action type="Redirect" url="http://staging.domain.com/{R:0}" appendQueryString="true" redirectType="Permanent" />
</rule>

Isso funciona para um único diretório ou grupo de arquivos, mas não consegui adicionar lógica adicional nessas duas regras. Por exemplo, você pode ter 3 pastas que precisam ser seguras, tentei adicioná-las como 'Negar registros', mas nenhum redirecionamento acontece.

Hmmm! L

    
por uniquelau 06.08.2014 / 14:10

1 resposta

0

Embora seja útil, a abordagem de redirecionamento que você propõe não oferece os mesmos benefícios de segurança que colocar URLs https nos lugares certos em suas páginas.

Se um usuário enviar uma solicitação por HTTP e receber uma resposta de redirecionamento, todos os dados enviados terão sido transferidos para seu site em texto não criptografado. Você está apenas recebendo proteção para as informações que seu site envia de volta ao usuário. Isso é melhor que nada, mas você precisa ter cuidado com isso.

Por exemplo, se você tiver um formulário de login no canto da sua página http, com um destino de formulário http, seus usuários passarão seus detalhes de login em texto não criptografado, independentemente de como você responder. Por outro lado, se sua página http tiver um link para uma página de login http e você redirecioná-la para uma versão https da página, que apresenta o formulário com um URL de destino de formulário https, isso será mais seguro. / p>

Você pode até mesmo redirecionar o link ? (ao contrário de http). Se você puder servir uma resposta, então exatamente com que limitação você está trabalhando?

    
por 20.08.2014 / 03:38

Tags