Все на https, безопасно и дешево

в 17:46, , рубрики: HTTPS, безопасность, Веб-разработка, сертификаты, метки: , ,

Краткое введение

В наши дни все понимают насколько простой задачей является угон незащищенной http сессии.
И останавливать от повсеместного внедрения может только цена на покупку сертификата, www.startssl.com решает эту проблему, раздавая бесплатные сертификаты (Class 1). Verified (Class 2) стоят копейки.

Редирект

Когда сертификат куплен, а программное обеспечение настроено становится очевидна необходимость редиректа пользователя с http:// мойсайт.ру на https:// мойсайт.ру.

Подобный редирект создает небольшую дыру в безопасности, атака может быть совершена до редиректа. Поэтому желательно избежать редиректа указав ссылки с https и используя следующие техники:

Спецификация HTTP/1.1 говорит что http responsе коды 301 («moved permanently») и 302 («found»/«moved temporarily») могут быть закешированы браузером.

Поэтому использование заголовков Expires или Cache-Control max-age с большими сроками сделает редиректы более безопасными. Очевидной проблемой является отсутствие уважения к спецификациям со стороны разработчиков некоторых браузеров.

Вторым вариантом является использование заголовка Strict-Transport-Security.
Посредством этого заголовка Вы информируете браузер о том что вебсайт будет доступен только через https. http запросы будут переписаны на стороне клиента браузером.

Strict-Transport-Security: max-age=31556926;
Говорит браузеру, который поддерживает черновой стандарт что 1 год сайт доступен только через https. (Firefox и Chrome уже поддерживают, Opera ожидает переход его статуса в agreed или established).

Дополнительная информация

en.wikipedia.org/wiki/HTTP_Strict_Transport_Security
en.wikipedia.org/wiki/List_of_HTTP_status_codes

Автор: tag

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js