¿Alojar una redirección http-https permite que la autenticación básica de http se escape?

1

Estaba pensando en cómo se envía la autenticación básica de http con cada solicitud. A menudo, deseo usar redireccionamientos de http-to-https cuando sea posible para una experiencia de usuario más agradable (¿hemos llegado al lugar de los navegadores que intentan https de forma predeterminada sin htst? ¿todavía?); aunque se me ocurrió que si un recurso en particular utilizaba autenticación básica de http, y también tenía un puerto http abierto, no es impensable que las credenciales de autenticación básica de http puedan enviarse allí, como sucede con los humanos, que manejan las medidas de seguridad con sus < em> nivel de gracia habitual .

Me encantaría que me dijeran "no, ningún navegador, herramienta o desarrollador de software razonable enviaría la autenticación básica más de http" y que la prevención se incluyó como un esfuerzo indebido para pasar por alto. pero estoy pensando que los recursos de autenticación http básicos simplemente no deberían tener httpd de puerto 80 disponibles para los humanos en absoluto.

    
pregunta ThorSummoner 10.01.2018 - 02:25
fuente

1 respuesta

2

Es probable que esto dependa del navegador ya que está relacionado con un componente del administrador de contraseñas que no está estandarizado. También depende del software de terceros, ya que algunos administradores de contraseñas son proporcionados por terceros.

Lo he probado en Firefox 52 ESR usando un administrador de contraseñas integrado, y usa un esquema como parte de la consulta de autenticación. Por lo tanto, si almacenó credenciales utilizando el esquema https: //, no se enviarán con el esquema http: //, y viceversa.

Chromium 63 tiene exactamente el mismo comportamiento.

Tenga en cuenta que depende del esquema, no del puerto; puede tener enlace o enlace

    
respondido por el George Y. 10.01.2018 - 08:16
fuente

Lea otras preguntas en las etiquetas