it-swarm.com.de

Sicherheitsvorteil von Browsern, die HTTP automatisch in HTTPS umschreiben?

Ich benutze oft ein Gast-WiFi, das das übliche Abfangen macht; Wenn Sie versuchen, zu einer HTTP-Website zu navigieren, werden Sie zur Seite "Zustimmen unserer Nutzungsbedingungen" weitergeleitet. Anschließend wird der Datenverkehr von Ihrer MAC-Adresse auf normale Weise zugelassen.

Normalerweise wähle ich einfach eine Webseite aus und drücke auf "Neu laden", aber dieses WiFi mag https:// Nicht. Die Abfrage muss http:// Sein.

OK, also gehe ich in die Adressleiste und lösche das "s" aus HTTPS und drücke "go". Z.B. http://www.Amazon.com/usual-Amazon-URL-here

nd dann setzt mein lokaler Browser das "s" zurück. Es führt die Abfrage an Port 443 durch, den das Gast-WLAN blockiert. Dies muss der lokale Browser sein, da er buchstäblich kein Internet hat. Ich kann dafür bürgen, dass dies im Silk-Browser von Amazon, Firefox unter Android und Ich glaube Safari/iOS vorkommt.

Ist dies eine Richtlinie von Webbrowser-Clients, die HTTPS immer dann erzwingen, wenn der Browser weiß, dass die Site HTTPS unterstützt? Gegen welche Bedrohung verteidigt sich das?

Ich schlage vor, Sie schauen sich NeverSSL an, eine einfache Site, die immer über einfaches HTTP bereitgestellt wird.

Wenn Sie sicher sind, dass Ihr Browser dies tut und keine Weiterleitung auf der Serverseite, ist dies wahrscheinlich das Ergebnis einer Sicherheitsfunktion namens HTTP Strict Transport Security (HSTS) . Wenn eine Website nur über eine verschlüsselte Verbindung bereitgestellt werden soll, wird ein HTTP-Header festgelegt, der den Browser anweist, immer nur über TLS eine Verbindung herzustellen. Einige Websites verwenden möglicherweise sogar HSTS-Preloading , wobei die Umleitungsrichtlinie standardmäßig fest in den Browsern codiert ist, anstatt über einen HTTP-Header über das Netzwerk festgelegt zu werden. HSTS aller Art wurde entwickelt, um MITM-Angriffe zu besiegen, die die Tatsache ausnutzen, dass Ihr Browser gerne auf der unverschlüsselten Version einer Site bleibt, selbst wenn HTTPS verfügbar ist. Laut Security Headers verwendet Amazon HSTS. Dies erklärt, warum Sie umgeleitet werden.

33
forest

In einigen Browsern können Sie mithilfe von Debugger-Tools überprüfen, ob der Browser aufgrund von HSTS http: // in https: // umschreibt. Zum Beispiel in Google Chrome:

  1. drücken Sie F12, um die Debugger-Tools zu öffnen und zur Registerkarte Netzwerk zu wechseln
  2. gehen Sie zu http://www.Amazon.com/ in der Adressleiste
  3. auf der Registerkarte Netzwerk wird schnell eine Liste aller angeforderten URLs angezeigt. nach oben scrollen

Die erste Anfrage ist für http://www.Amazon.com/ . Wenn ich diese Anfrage auswähle, sehe ich im rechten Feld (unter anderem) folgende Zeilen:

 URL anfordern: http://www.Amazon.com/ 
 Statuscode: 307 Interne Weiterleitung 
 Speicherort: https://www.Amazon.com/ 
 Nicht maßgeblicher Grund: HSTS 
7
Bennett