将 GET 请求重定向到 HTTPS 是否安全?

将 GET 请求重定向到 HTTPS 是否安全?

这会影响很多第三方购物车等的感谢页面。重定向到 HTTPS 的 GET 请求是否安全?或者,在重定向发生之前,它们会被窥探吗?

谢谢

答案1

和直接从 HTTPS 转到 HTTPS 一样安全吗?不。

比不重定向更安全吗? 是的。

从 HTTP 重定向到 HTTPS 时的攻击媒介是 MITM 可以修改重定向以将用户重定向到非 HTTPS 版本(也称为 SSL 剥离或 HTTPS 降级攻击)。直接导航到 HTTPS(或从 HTTPS 页面转到 HTTPS)可以完全阻止这种情况,但从非 HTTPS 页面重定向用户仍具有以下安全优势:

  • 用户受到攻击的时间窗口要短得多,可能只有一个请求
  • 用户仍然可以手动验证是否正在使用 HTTPS,并确定何时未发生重定向

高速传输系统尝试解决这个问题,但是如果第一个包含 Strict-Transport-Security 标头的请求通过纯 HTTP 进行,则仍然容易受到攻击。

答案2

在 https 出现之前,它们只是简单的 HTTP over TCP 连接。是的,它可以被窥探,但真的不容易。在大多数情况下,也许可以使用一点点 DNS 欺骗。

一个简单的单桅帆船很难,TCP 的会话 ID 可能不是很长,但这种尝试会造成障碍。据我所知,在这种情况下,DNS欺骗是一种可行的替代方案。

无论如何,如果重定向不存在肯定会更好(访问者无法在地址行中输入“https”),而且如果没有重定向,访问者得到的是一个纯粹无加密的网站,那就更好了。

相关内容