我想訪問使用這種URL的安全網站:https://securenet.someBank.com。一切都很好,我顯示登錄頁面。現在,當我只輸入:http到https重定向不會自動發生
http://securenet.someBank.com(即http而不是https)我希望在瀏覽器中獲取帶有https的頁面。 (例如,當你說:http://mail.yahoo.com時,你會回到https://mail.yahoo.com)。
但在這種情況下,https :: //securenet.someBank.com只是說:頁面無法顯示。
那麼,網站開發人員在實施安全方面做了什麼錯誤?我只是好奇。我認爲這種事情(http - > https重定向)由Web服務器自動處理,網站開發人員甚至不需要做任何事情。但顯然情況並非如此。
可能是錯誤的服務器配置。例如,在Apache中,必須在httpd.conf文件中定義一個重定向選項,以便自動重定向到該頁面的https URL。
從HTTP到HTTPS的重定向對用戶來說只是一種方便。
正如我在Webmasters.SE上的this answer中所說的,只有最終用戶才能檢查是否使用HTTPS,以及它是否正確使用。一個MITM攻擊者可能會阻止最初的重定向發生。
這些自動重定向僅基於沒有MITM執行此類攻擊的假設而有用。它們對於讓用戶習慣於在應該安全的頁面上看到HTTPS非常有用,但無論發生什麼情況,它總是由用戶檢查他們正在連接的內容。因此,我不一定會將這種重定向稱爲開發人員或系統管理員錯誤。
作爲用戶,您應該始終將書籤和使用https://地址的網站,您希望它應該使用。
[0123]
https://securenet.someBank.com。一切都很好,我顯示登錄頁面。 [...] 但在這種情況下,https:://securenet.someBank.com只是說:頁面無法顯示。
在這裏,假設雙倍::是你的問題中的錯字,你似乎自相矛盾。如果https://securenet.someBank.com只是說「頁面無法顯示」,這確實是一個錯誤。
除了布魯諾建議以上,我建議您閱讀以下內容:
https://www.owasp.org/index.php/HTTP_Strict_Transport_Security
有兩兩件事你可以做:
1)力HTTP嚴格傳輸安全 2)按照該頁面上的示例所述執行永久性重定向。
有任何問題,請讓我知道。
法比奧 @fcerullo