web-dev-qa-db-ja.com

ブラウザがHTTPをHTTPSに自動的に書き換えるセキュリティ上のメリットは何ですか?

私は通常、通常の傍受を行うゲストWiFiを使用します。 HTTP Webサイトに移動しようとすると、「ToSに同意する」ページにリダイレクトされます。その後、通常の方法でMACアドレスからのトラフィックを許可します。

通常、私は任意のWebページを選択してリロードをクリックしますが、このWiFiはhttps://が好きではありません。クエリはhttp://である必要があります。

OK、それで私はアドレスバーに行ってHTTPSから "s"を削除し、そして "go"を押します。例えば。 http://www.Amazon.com/usual-Amazon-URL-here

そして、私のローカルブラウザは "s"を戻します。ゲストWiFiがブロックするポート443でクエリを作成します。それは文字通りインターネットを持っていないので、これを行うローカルブラウザでなければなりません。 AmazonのSilkブラウザー、Android上のFirefox、およびSafari/iOSでこれが発生することを保証できます

これは、ブラウザーがサイトがHTTPSをサポートしていることをブラウザーが知っている場合は常にHTTPSを強制するWebブラウザークライアントのポリシーですか?それはどのような脅威を防御しますか?

NeverSSL を調べることをお勧めします。これは、常にプレーンHTTPで提供される単純なサイトです。

サーバー側でのリダイレクトではなく、ブラウザがリダイレクトを実行していることが確実な場合は、 HTTP Strict Transport Security(HSTS) と呼ばれるセキュリティ機能の結果である可能性があります。暗号化された接続でのみサービスを提供したいWebサイトは、TLS経由でのみ接続するようにブラウザーに指示するHTTPヘッダーを設定します。一部のサイトでは HSTS preloading を使用することもできます。リダイレクトポリシーは、ネットワーク上のHTTPヘッダーを介して設定されるのではなく、デフォルトでブラウザーにハードコードされます。あらゆる種類のHSTSは、HTTPSが利用可能であっても、ブラウザが暗号化されていないバージョンのサイトにとどまることを完全に喜んでいるという事実を悪用する MITM攻撃 を打破するように設計されています。 Security Headers によると、AmazonはHSTSを使用しています。これにより、リダイレクトされる理由がわかります。

33
forest

一部のブラウザでは、デバッガツールを使用して、ブラウザがHSTSのためにhttp://をhttps://に書き換えていることを確認できます。たとえば、Google Chromeでは:

  1. f12キーを押してデバッガーツールを開き、[ネットワーク]タブに移動します。
  2. アドレスバーの http://www.Amazon.com/ に移動します
  3. [ネットワーク]タブには、要求されているすべてのURLのリストがすぐに表示されます。一番上までスクロール

最初のリクエストは http://www.Amazon.com/ に対するものです。そのリクエストを選択すると、右側のボックスに(特に)次の行が表示されます。

リクエストURL:http://www.Amazon.com/ 
ステータスコード:307内部リダイレクト
場所:https://www.Amazon.com/ 
権限のない理由:HSTS 
7
Bennett