这会影响很多来自第三方购物车的感谢页面等等。GET请求redirect到HTTPS的HTTP是安全的吗? 或者,在redirect发生之前,他们可以被窥探吗?
谢谢
像从HTTPS直接转到HTTPS一样安全? 没有。
比不redirect更安全? 是。
当从HTTPredirect到HTTPS时,攻击向量是MITM可以修改redirect,将用户redirect到非HTTPS版本(又名SSL剥离或HTTPS降级攻击)。 直接导航到HTTPS(或从HTTPS页面获取)将完全阻止这种情况,但是将用户从非HTTPS页面redirect仍然具有以下安全优势:
HSTS试图解决这个问题,但是如果包含Strict-Transport-Security头部的第一个请求发生在纯HTTP上,它仍然是脆弱的。
在https之前,他们是简单的HTTP over TCP连接。 是的,它可以被窥探,但真的不容易。 在大多数情况下,也许有一些dns欺骗可以使用。
一个天真的单手很难,TCP的会话ID可能不是很长,但是这样的障碍。 AFAIK在这种情况下,DNS欺骗是一个可行的select。
无论如何,它肯定好得多,就好像redirect不存在一样(访问者不能在地址栏中input“https”),而且如果不是redirect,访问者会得到一个纯粹无密码的网站。