2

現在、新しい個人サーバーをセットアップ中です。私はHSTS(EFFに感謝します!)とNginxに実装する手順(例:こちら)について読んでいます。

私がはっきりと綴られていないのは、最初のリダイレクトを処理する方法です。ポート 80 で静的なエラー コンテンツを提供し、HTTPS で実際のサイトにリダイレクトしますか?

私がこれまでに読んだ多くのことは、HTTP からサービスを提供するとサイトが MITM 攻撃に対して脆弱になることを示唆しています。インスタンス化された Cookie に Secure フラグが設定されていれば問題ないと言う人もいます。もちろん、私は一般人であり、プリロードされた HSTS サイト リストには含まれていないので、それは除外します。

ここでの取引は何ですか?サイト訪問者の利便性のためにポート 80 を提供してリダイレクトする必要がありますか?それとも、訪問者を攻撃にさらしているのでしょうか?

完全な開示: 取引による非運用、および安全でないコンテンツが提供されている、学習の機会を備えた空腹の心。

4

1 に答える 1

2

ポート 80 のサイトでは、ポート 443 の HTTPS サイトにユーザーをリダイレクトする301 応答コード"Strict-Transport-Security"で応答するだけです。その後、安全なサイトがヘッダーを送信します。

これにより、ユーザーが最初にサイトにアクセスしたときに中間者攻撃に対して脆弱なままになります. これを軽減するには、事前に読み込まれた HSTS リストにサイトを登録する必要があります。

安全でないサイトから Cookie を設定しないでください。安全なサイトから Cookie を設定するときは、常に secure フラグを使用してください。

于 2015-10-21T16:20:07.510 に答える