¿Podrían bloquearse las redirecciones de HTTPS a HTTP en el futuro? [cerrado]

4

Varias respuestas en este sitio (por ejemplo, 76305 ) sugieren que las redirecciones de HTTPS 30x a HTTP no son una gran idea pero que el patrón es generalizado.

En cuanto a las opciones que ha tomado el equipo de Chrome, está claro que consideran que su función es proactiva en materia de seguridad. Es previsible que los navegadores comiencen a dejar de usar, advertir o incluso evitar que las URL de HTTPS redirijan a las HTTP.

¿Hay alguna evidencia de que este bloqueo ocurra? Si es así, ¿alguna indicación sobre la probabilidad o el plazo?

    
pregunta Joe 10.10.2016 - 19:40
fuente

1 respuesta

3

Una aplicación puede, naturalmente, filtrar información confidencial, como un token de sesión en un canal inseguro utilizando un redireccionamiento HTTP 302. Pero esto podría ocurrir en un ataque, "hey haga clic en http://authsite.com ", lo que puede hacer que el navegador envíe una solicitud HTTP en claro.

Una aplicación puede proteger tokens de sesión utilizando el indicador de cookie segura , que indica al navegador que no envíe la sesión. Token sobre un canal inseguro.

Además, hay HTTP-Strict-Transport Security (HSTS) , que obligará al cliente a usar HTTPS, incluso si hay un redireccionamiento 302 descuidado a HTTP. HSTS se creó en respuesta al ataque SSLStrip .

Todas las aplicaciones web deben lidiar con la transmisión insegura, y es un defecto común del servidor en Internet hoy en día. En un futuro próximo, chrome utilizará una icono de bloqueo roto en las aplicaciones web que filtran información confidencial .

    
respondido por el rook 10.10.2016 - 20:08
fuente

Lea otras preguntas en las etiquetas