Todos os HTTPS, ou é aceitável aceitar HTTP e redirecionar (seguro versus amigável ao usuário)

1

Atualmente, nosso site redireciona as solicitações enviadas para http://example.com para https://example.com - tudo além disso é veiculado por SSL. Por enquanto, o redirecionamento é feito com uma regra de reescrita do Apache.

Nosso site está lidando com dinheiro, portanto, a segurança é muito importante. Permitir HTTP deste modo representa um maior risco de segurança do que simplesmente não abrir ou escutar na porta 80? Idealmente, é um pouco mais fácil de redirecionar.

(Estou ciente de que o SSL é apenas uma das grandes questões de segurança, portanto, faça a suposição generosa de que fizemos pelo menos um trabalho "muito bom" de cobrir várias bases de segurança.)

    
por Tom Harrison Jr 26.09.2012 / 05:07

2 respostas

3

Você está fazendo a coisa certa ao redirecionar http para https (supondo que você use redirecionamentos 301).

Uma coisa adicional que você deve considerar seria ativar a Segurança de transporte restrita para que os navegadores saibam que se trata de uma Web site eles devem se conectar apenas via https.

    
por 26.09.2012 / 05:12
2

Na verdade, pode criar um problema de segurança se for feito incorretamente, mas considerando que os maiores bancos e empresas financeiras do mundo [efetivamente] fazem isso por seus serviços on-line, acho que você está seguro, ou pelo menos em boa companhia.

O Stack Overflow tem um tópico mais antigo sobre o tópico e, como observado, você quer ter certeza de ativar HSTS , caso contrário, há possíveis problemas com ataques MiTM e possíveis sessões seqüestro.

E, a propósito, a maneira recomendada de fazer isso é com uma regra VirtualHost em vez de mod_rewrite .

    
por 26.09.2012 / 05:22