¿Beneficio para la seguridad de los navegadores que reescriben automáticamente HTTP a HTTPS? [duplicar]

16

A menudo utilizo un WiFi de invitado que hace la intercepción habitual; intente navegar a cualquier sitio web HTTP y lo redireccionará a la página "De acuerdo con nuestras Condiciones de Uso", después de lo cual permitirá cualquier tráfico de su dirección MAC de la manera normal.

Por lo general, solo elijo cualquier página web y hago clic en recargar, pero a este WiFi no le gusta https:// . La consulta debe ser http:// .

Bien, voy a la barra de direcciones, borro la "s" de HTTPS y presiono "ir". P.EJ. http://www.amazon.com/usual-Amazon-URL-here

Y luego mi navegador local devuelve la "s" . Realiza la consulta en el puerto 443, que bloquea el WiFi del huésped. Tiene que ser el navegador local que hace esto, ya que literalmente no tiene Internet. Puedo dar fe de que esto ocurra en el navegador Silk de Amazon, Firefox en Android y Creo en Safari / iOS.

¿Es esta una política de los clientes de navegadores web para forzar el uso de HTTPS siempre que el navegador sepa que el sitio admite HTTPS? ¿Contra qué amenaza se defiende?

    
pregunta Harper 12.05.2018 - 03:44
fuente

2 respuestas

33

Le sugiero que busque en NeverSSL , un sitio simple que siempre se ofrecerá a través de HTTP simple.

Si está seguro de que su navegador lo está haciendo y no una redirección en el servidor, es probable que sea el resultado de una función de seguridad llamada HTTP Strict Transport Security (HSTS) . Cuando un sitio web solo quiere servir a través de una conexión encriptada, establece un encabezado HTTP que le indica al navegador que solo se conecte a través de TLS. Algunos sitios pueden incluso utilizar precarga HSTS , donde la política de redireccionamiento está codificada en los navegadores de forma predeterminada, en lugar de configurarse a través de un encabezado HTTP a través de la red . HSTS de todo tipo está diseñado para derrotar a ataques MITM que aprovechan el hecho de que su navegador estaría perfectamente feliz de permanecer en la versión no encriptada de un sitio, incluso si HTTPS está disponible. Según Encabezados de seguridad , Amazon usa HSTS. Esto explica por qué estás siendo redirigido.

    
respondido por el forest 12.05.2018 - 04:56
fuente
7

En algunos navegadores, puede verificar mediante el uso de herramientas de depuración que el navegador está reescribiendo http: // a https: // debido a HSTS. Por ejemplo, en Google Chrome:

  1. pulsa F12 para abrir las herramientas del depurador y ve a la pestaña Red
  2. vaya a enlace en la barra de direcciones
  3. la pestaña Red se llenará rápidamente con una lista de todas las URL solicitadas; desplazarse hasta la parte superior

La primera solicitud será para enlace . Cuando selecciono esa solicitud, en el cuadro de la derecha veo estas líneas (entre otras):

Request URL: http://www.amazon.com/  
Status Code: 307 Internal Redirect  
Location: https://www.amazon.com/  
Non-Authoritative-Reason: HSTS
    
respondido por el Bennett 12.05.2018 - 16:11
fuente

Lea otras preguntas en las etiquetas