¿Cómo informa el servidor web a los navegadores sobre la capacidad https?

Navega tus respuestas
3

¿Cómo informa el servidor web a los navegadores sobre la capacidad https?

  • si escribimos en microsoft.com (que es una solicitud http por defecto), Firefox busca / el servidor sirve la siguiente página https: // www.microsoft.com/en-in/. La solicitud original es en http.

  • vemos una solicitud de obtención de HTTP para http: //microsoft.com/ con Solicitudes de actualización inseguras: 1 indicador (la voluntad de los clientes de ir a una conexión segura)

  • A continuación vemos un http 301 movido permanentemente. este paquete contiene el campo de ubicación como http: // www.microsoft.com /

  • a continuación vemos que el cliente comienza un saludo de TLS para comenzar la sesión https y finalmente obtener la página https

  1. ¿dóndepodemosverelservidorinformandoalclientedelacapacidadhttpsoredirigiendoalpuertohttps443?

  2. ¿podemossuprimirelindicadordeSolicitudesdeactualizacióninsegurasparaqueobtengamosunarespuestahttp?(asumiendoqueelservidornoredirigeautomáticamenteahttps)

adjuntohayunwirehark capture . filtrar utilizando el siguiente 

(http contains microsoft) or (ssl contains microsoft)
    
pregunta Curi0usM3 24.01.2017 - 20:41
fuente

1 respuesta

5

En este caso, es una serie bastante simple de redirecciones HTTP: 

┌─[jamesph@ilmr] - [~] - [Tue Jan 24, 11:45]
└─[$]> http --head 'http://microsoft.com'
HTTP/1.1 301 Moved Permanently
Content-Length: 148
Content-Type: text/html; charset=UTF-8
Date: Tue, 24 Jan 2017 19:45:48 GMT
Location: http://www.microsoft.com/
Server: Microsoft-IIS/8.5
X-Powered-By: ASP.NET

┌─[jamesph@ilmr] - [~] - [Tue Jan 24, 11:45]
└─[$]> http --head 'http://www.microsoft.com'
HTTP/1.1 302 Moved Temporarily
Connection: keep-alive
Content-Length: 0
Date: Tue, 24 Jan 2017 19:45:56 GMT
Location: http://www.microsoft.com/en-us/
Server: AkamaiGHost
X-CCC: US
X-CID: 2

┌─[jamesph@ilmr] - [~] - [Tue Jan 24, 11:45]
└─[$]> http --head 'http://www.microsoft.com/en-us/'
HTTP/1.1 301 Moved Permanently
Connection: keep-alive
Content-Length: 0
Date: Tue, 24 Jan 2017 19:46:03 GMT
Location: https://www.microsoft.com/en-us/
Server: AkamaiGHost
Set-Cookie: akacd_OneRF=1493063163~rv=66~id=28df10e9d3a3627dfc38acff7feb884a; path=/; Expires=Mon, 24 Apr 2017 19:46:03 GMT
X-CCC: US
X-CID: 2

(Estoy usando enlace , una utilidad que es como una versión mejorada de curl para uso de cli).

http://microsoft.com 301 redirige a http://www.microsoft.com , que 302 redirige a http://www.microsoft.com/en-us/ , y 301 redirige a https://www.microsoft.com/en-us/ .

En general, las redirecciones HTTP son la forma en que muchos sitios web llevan a los usuarios a https. Herramientas como sslstrip a veces pueden frustrar estos intentos, ya que la conexión inicial puede ser MitMed porque no está protegida por TLS, razón por la cual los sitios están comenzando a usar cada vez más los encabezados HSTS , momento en el cual el navegador almacena la información a la que se debe acceder al sitio por https y se envía la solicitud se realiza desde el principio (en lugar de suponer http cuando no se proporciona el protocolo).

    
respondido por el Xiong Chiamiov 24.01.2017 - 20:52
fuente

Lea otras preguntas en las etiquetas

¿Aleatorizar números de llamadas del sistema para evitar rootkits? ¿En qué se diferencia CloudBleed de HeartBleed? [duplicar]