¿Cómo sabe el navegador web de un cliente si un sitio web es solo HTTPS?

Question

¿Cómo sabe el navegador web de un cliente si un sitio web es solo HTTPS?

#1 de niilzon (4 votos)
#2 de Scott Engle (0 votos)

1

¿Cómo sabría el navegador web de un cliente si un sitio web es solo HTTPS?

Aquí está el escenario, un cliente intenta acceder a facebook.com escribiendo facebook.com en la barra de direcciones, el navegador automáticamente va a la versión no segura enlace pero Facebook no lo permite, envía un redireccionamiento a la versión segura del sitio web enlace .

Este escenario me parece vulnerable, un atacante (hombre en el medio) podría interceptar el tráfico mientras la conexión aún estaba en HTTP y hacer que el servidor nunca envíe un redireccionamiento a HTTPS y así rompa la conexión segura.

Estoy bastante seguro de que la gente ya pensó en esto y solucionó el problema, pero ¿cómo?

El hecho de tener una lista de sitios web que son solo HTTPS y que vienen con el navegador web no parece ser efectivo.

Tal vez la primera vez que el cliente se conecta al sitio web, ¿recibe un mensaje que diga que acceda al sitio web a través de HTTPS solo por un período de tiempo específico?

tls man-in-the-middle

pregunta ChrisK 03.04.2017 - 23:51

fuente

2 respuestas

Lea otras preguntas en las etiquetas tls man-in-the-middle

¿Es una práctica de seguridad aceptable mostrar la contraseña en texto sin formato en un sitio web? Cómo escapar correctamente una cadena de un campo de entrada, evitando ataques XSS en JavaScript

score 4 · Answer 1

El navegador web de un cliente sabría si el sitio web es "https" solo al verificar si el sitio web se encuentra en su lista de precarga HSTS.

Como mencionó, en un escenario clásico, un MITM podría interceptar una solicitud GET de http y evitar la redirección a la versión https del sitio web.

Por esta razón se inventó la precarga de HSTS: los navegadores pueden verificar si el sitio web visitado se encuentra en sus listas de precarga de HSTS. Si este es el caso, consultará la versión https inmediatamente, sin probar primero el http. Esto mitiga el escenario MITM

score 0 · Answer 2

Para responder a su primera pregunta, el navegador no necesariamente sabe que el sitio web solo acepta HTTPS. Intentará cargar la URL solicitada y responder de acuerdo con la respuesta del servidor.

Si abre las herramientas de desarrollo de Chrome y navega a http://facebook.com , verá que el navegador recibe de 307 Internal Redirect a https://facebook.com . Una vez que ve eso, el navegador emite otra solicitud al sitio seguro.

El servidor web en el extremo receptor de la solicitud tiene la responsabilidad de permitir o rechazar cualquier solicitud entrante.