Wiki e link per votare non sono aggiornati
http://minecraftwiki.forgottenworld.it/index.php?title=Forgotten_World -> https://wiki.forgottenworld.it/mc/Forgotten_World
https://www.minecraft-italia.it/lista-server-italiani/forgottenworld -> https://www.minecraft-italia.it/server/forgottenworld
Mi confermi che i link che iniziano con http vengono reindirizzati correttamente alla versione https?
Cioè se clicchi sul link wiki dovresti essere portare alla versione https nonostante il link inizi con http.
Dal server ? si, forgottenworld.it, forum.forgottenworld.it e wiki.forgottenworld.it rispondono 301 e rimandano alla loro versione https
Perfetto. Questo era il comportamento desiderato per evitare di dover correggere a mano tutti i vari link.
Grazie ancora per le segnalazioni. Se non ci sono novità chiudo
wtf ?
Il server reindirizza alla versione https ma il client manda una richiesta http (in chiaro).
Anche se fosse il “comportamento desiderato”, non è un comportamento corretto (specialmente senza HSTS)
Il client invia solamente richieste GET in chiaro. Il server risponde con un redirect. Il client manda un GET in cifrato, il server risponde in cifrato.
L’intera discussione si basa sul fatto che se la richiesta è fatta in http c’è il rischio di MITM.
In quel caso
non è vero, perchè l’attacker potrebbe decidere di non mandare il redirect/301 al client, ma sostituirlo con una versione http della pagina. È un attacco ormai conosciuto da anni che non ha fatto altro che sottolineare i problemi di utilizzare i redirect come soluzione.
Grazie per il suggerimento. Risolverò asap
Sono lieto di informarti che adesso ForgottenWorld supporta HSTS su tutti i suoi domini. Ti ringrazio ancora per i tuoi suggerimenti, suggerimenti che hanno permesso a ForgottenWorld di essere al passo con i tempi e sempre aggiornati in termini di sicurezza.
Riporto di seguito i risultati di forum.forgottenworld.it ottenuti con Qualys SSL Labs:
(Fonte: https://www.ssllabs.com/ssltest/analyze.html?d=forum.forgottenworld.it)
Questo argomento è stato automaticamente chiuso 30 giorni dopo l’ultima risposta. Non sono permesse altre risposte.
