it-swarm.com.de

Wie erzwinge ich, dass ein Browser beim Herstellen einer Verbindung zu einer bestimmten Domäne nur auf dem Clientcomputer https ist?

Ist es möglich, einen Client (Browser oder Host-Computer usw.) zu zwingen, nur https-Verbindungen zu einer bestimmten URL/Domain herzustellen?

(vorzugsweise Nicht-Administrator-/Root-Korrekturen, wenn möglich)

Hier ist ein fabriziertes Szenario:

Nehmen wir an, jemand hat eine Website gehostet und keine http -> https-Weiterleitung eingegeben, und der Webserver bearbeitet Anforderungen auf beiden 80/443 http/https.

Wir sind die Client-Maschine, die wir in einem Unternehmen arbeiten, und sie werden den Webserver aus dem einen oder anderen Grund nicht reparieren. Wir haben keine anderen Computer als Proxy und haben keine Kontrolle über das Netzwerk. Jetzt könnten wir einfach ein Lesezeichen erstellen (oder eine andere Form des Workflows, der unsere Aktionen dazu zwingt, immer https zu erreichen), aber es muss eine Möglichkeit für Browser eingebaut sein, die beispielsweise sagen können: "Stellen Sie keine Verbindung zu dieser Domain/URL her, wenn Sie diese nicht verwenden." Protokoll".

Dies wäre nach Möglichkeit mein bevorzugter Ansatz.

Dies ist sehr frustrierend für Personen, die sich auf die Sicherheit konzentrieren, da ein versehentliches Drücken der http-Version Ihre Sitzungs-ID verliert und wenn Sie sich dort anmelden, ein RIP-Passwort.

Ich habe online gesucht, aber überraschenderweise nichts gefunden.

6
Kirin

Sie haben bereits festgestellt, dass dies mit einer Erweiterung wie HTTPS Everywhere möglich ist. Und Sie haben herausgefunden, dass der Browser dies standardmäßig nicht tut. Somit gibt es die Option "nichts mit dem Browser zu tun", die keinen Schutz bietet, oder die Option "etwas im Client zu tun", was bereits durch die Installation eines Plugins ein gelöstes Problem ist. Abgesehen davon gibt es HSTS-Preloading , bei dem der Browser weiß, dass einige bestimmte Websites immer HTTPS verwenden, auch wenn der Browser noch nie zuvor eine Verbindung zu diesen Websites hergestellt hat.

Wenn Sie so etwas wie HSTS-Vorladen möchten, aber für Domains, die nicht in der öffentlichen HSTS-Preload-Liste enthalten sind, können Sie in Chrome) zusätzliche Domains zur lokalen HSTS-Liste hinzufügen, indem Sie auf chrome://net-internals/#hsts Siehe auch Manuelles Erzwingen von HSTS in Google Chrome .

5
Steffen Ullrich