将 GET 请求重定向到 HTTPS 是否安全？

Question 1

和直接从 HTTPS 转到 HTTPS 一样安全吗？不。

比不重定向更安全吗？是的。

从 HTTP 重定向到 HTTPS 时的攻击媒介是 MITM 可以修改重定向以将用户重定向到非 HTTPS 版本（也称为 SSL 剥离或 HTTPS 降级攻击）。直接导航到 HTTPS（或从 HTTPS 页面转到 HTTPS）可以完全阻止这种情况，但从非 HTTPS 页面重定向用户仍具有以下安全优势：

用户受到攻击的时间窗口要短得多，可能只有一个请求
用户仍然可以手动验证是否正在使用 HTTPS，并确定何时未发生重定向

高速传输系统尝试解决这个问题，但是如果第一个包含 Strict-Transport-Security 标头的请求通过纯 HTTP 进行，则仍然容易受到攻击。

Answer

和直接从 HTTPS 转到 HTTPS 一样安全吗？不。

比不重定向更安全吗？是的。

从 HTTP 重定向到 HTTPS 时的攻击媒介是 MITM 可以修改重定向以将用户重定向到非 HTTPS 版本（也称为 SSL 剥离或 HTTPS 降级攻击）。直接导航到 HTTPS（或从 HTTPS 页面转到 HTTPS）可以完全阻止这种情况，但从非 HTTPS 页面重定向用户仍具有以下安全优势：

用户受到攻击的时间窗口要短得多，可能只有一个请求
用户仍然可以手动验证是否正在使用 HTTPS，并确定何时未发生重定向

高速传输系统尝试解决这个问题，但是如果第一个包含 Strict-Transport-Security 标头的请求通过纯 HTTP 进行，则仍然容易受到攻击。

Question 2

在 https 出现之前，它们只是简单的 HTTP over TCP 连接。是的，它可以被窥探，但真的不容易。在大多数情况下，也许可以使用一点点 DNS 欺骗。

一个简单的单桅帆船很难，TCP 的会话 ID 可能不是很长，但这种尝试会造成障碍。据我所知，在这种情况下，DNS欺骗是一种可行的替代方案。

无论如何，如果重定向不存在肯定会更好（访问者无法在地址行中输入“https”），而且如果没有重定向，访问者得到的是一个纯粹无加密的网站，那就更好了。

Answer

在 https 出现之前，它们只是简单的 HTTP over TCP 连接。是的，它可以被窥探，但真的不容易。在大多数情况下，也许可以使用一点点 DNS 欺骗。

一个简单的单桅帆船很难，TCP 的会话 ID 可能不是很长，但这种尝试会造成障碍。据我所知，在这种情况下，DNS欺骗是一种可行的替代方案。

无论如何，如果重定向不存在肯定会更好（访问者无法在地址行中输入“https”），而且如果没有重定向，访问者得到的是一个纯粹无加密的网站，那就更好了。

将 GET 请求重定向到 HTTPS 是否安全？

答案1

答案2

相关内容