HTTP301: redirect naar https

Pagina: 1
Acties:

Vraag


Acties:
  • 0 Henk 'm!

  • MSteverink
  • Registratie: Juni 2004
  • Laatst online: 24-09 15:32
HTTP is notoir onveilig, want MITM-attack, je weet nooit wie er mee kijkt en je hebt geen enkele garantie dat datgene wat je binnen krijgt ook dat is wat de webserver verstuurde. Vandaar dat anno 2024 vrijwel iedere website gebruik maakt van https.
Heel veel websites houden echter een rudimentaire http-service in de lucht, die een HTTP301-redirect doet naar hun https-site. En nu zat ik me af te vragen:

Die redirect verloopt via http. Je browser kan dus nooit zeker of die redirect niet intussen is onderschept en je stiekem wordt omgeleid naar een andere dan de bedoelde website.

Is het wel een goed idee om een redirect vanwege veiligheidsredenen over http te versturen?

Alle reacties


Acties:
  • 0 Henk 'm!

  • nelizmastr
  • Registratie: Maart 2010
  • Laatst online: 01-10 21:40

nelizmastr

Goed wies kapot

Eigenlijk zou de noodzaak er ook niet meer moeten zijn, want alle moderne browsers benaderen primair een site op https en niet op http. Maar ja, legacy enzo…..

I reject your reality and substitute my own


Acties:
  • 0 Henk 'm!

  • jurroen
  • Registratie: Mei 2012
  • Laatst online: 30-09 10:06

jurroen

Security en privacy geek

MSteverink schreef op vrijdag 26 januari 2024 @ 18:12:

Die redirect verloopt via http. Je browser kan dus nooit zeker of die redirect niet intussen is onderschept en je stiekem wordt omgeleid naar een andere dan de bedoelde website.
Correct. Daarom is er HSTS, maar vooral ook preloading. En met HTTPS by default in nieuwere versies van browsers en OS'en is dat ook geen probleem meer.
Is het wel een goed idee om een redirect vanwege veiligheidsredenen over http te versturen?
Goed idee: ja. Want legacy clients. Wenselijk? Totaal niet.

Ongevraagde verzoeken per DM beantwoord ik niet, sorry