web-dev-qa-db-fra.com

Avantages de sécurité des navigateurs réécrivant automatiquement HTTP en HTTPS?

J'utilise souvent un WiFi invité qui fait l'interception habituelle; essayez de naviguer vers n'importe quel site Web HTTP et il vous redirigera vers la page "Accepter nos conditions d'utilisation", après quoi il autorisera tout trafic provenant de votre adresse MAC de la manière habituelle.

Habituellement, je choisis une page Web et je recharge, mais ce WiFi n'aime pas https://. La requête doit être http://.

OK, donc je vais dans la barre d'adresse et je supprime le "s" de HTTPS, et je clique sur "go". PAR EXEMPLE. http://www.Amazon.com/usual-Amazon-URL-here

Et puis mon navigateur local remet le "s". Il effectue la requête sur le port 443, que le WiFi invité bloque. Ce doit être le navigateur local qui fait cela, car il n'a littéralement pas d'Internet. Je peux en témoigner sur le navigateur Silk d'Amazon, Firefox sur Android et je crois Safari/iOS.

S'agit-il d'une politique des clients de navigateur Web pour forcer à HTTPS chaque fois que le navigateur sait que le site prend en charge HTTPS? Contre quelle menace cela se défend-il?

tlshttphsts
16
Harper - Reinstate Monica

Je vous suggère de regarder NeverSSL , un site simple qui sera toujours servi sur HTTP simple.

Si vous êtes sûr que c'est votre navigateur qui le fait et non une redirection côté serveur, c'est probablement le résultat d'une fonctionnalité de sécurité appelée HTTP Strict Transport Security (HSTS) . Lorsqu'un site Web souhaite uniquement servir via une connexion cryptée, il définit un en-tête HTTP qui demande au navigateur de ne se connecter que via TLS. Certains sites peuvent même utiliser préchargement HSTS , où la politique de redirection est codée en dur dans les navigateurs par défaut, plutôt que d'être définie via un en-tête HTTP sur le réseau. HSTS de toutes sortes est conçu pour vaincre attaques MITM qui exploitent le fait que votre navigateur serait parfaitement heureux de rester sur la version non cryptée d'un site, même si HTTPS est disponible. Selon Security Headers , Amazon utilise HSTS. Cela explique pourquoi vous êtes redirigé.

33
forest

Dans certains navigateurs, vous pouvez vérifier à l'aide des outils de débogage que le navigateur réécrit http: // en https: // à cause de HSTS. Par exemple, dans Google Chrome:

  1. appuyez sur F12 pour ouvrir les outils de débogage et accédez à l'onglet Réseau
  2. allez sur http://www.Amazon.com/ dans la barre d'adresse
  3. l'onglet Réseau se remplira rapidement d'une liste de toutes les URL demandées; faites défiler vers le haut

La première demande sera pour http://www.Amazon.com/ . Lorsque je sélectionne cette demande, dans la case de droite, je vois ces lignes (entre autres):

 URL de demande: http://www.Amazon.com/ 
 Code d'état: 307 Redirection interne 
 Emplacement: https://www.Amazon.com/ 
 Motif non autorisé: HSTS
7
Bennett