Il redirect da http a https è soggetto a man-in-the-middle attack

Wiki e link per votare non sono aggiornati

http://minecraftwiki.forgottenworld.it/index.php?title=Forgotten_World -> https://wiki.forgottenworld.it/mc/Forgotten_World

https://www.minecraft-italia.it/lista-server-italiani/forgottenworld -> https://www.minecraft-italia.it/server/forgottenworld

Mi confermi che i link che iniziano con http vengono reindirizzati correttamente alla versione https?

Cioè se clicchi sul link wiki dovresti essere portare alla versione https nonostante il link inizi con http.

Dal server ? si, forgottenworld.it, forum.forgottenworld.it e wiki.forgottenworld.it rispondono 301 e rimandano alla loro versione https

Perfetto. Questo era il comportamento desiderato per evitare di dover correggere a mano tutti i vari link.

Grazie ancora per le segnalazioni. Se non ci sono novità chiudo

wtf ?

Il server reindirizza alla versione https ma il client manda una richiesta http (in chiaro).
Anche se fosse il “comportamento desiderato”, non è un comportamento corretto (specialmente senza HSTS)

2 Mi Piace

Il client invia solamente richieste GET in chiaro. Il server risponde con un redirect. Il client manda un GET in cifrato, il server risponde in cifrato.

L’intera discussione si basa sul fatto che se la richiesta è fatta in http c’è il rischio di MITM.
In quel caso

non è vero, perchè l’attacker potrebbe decidere di non mandare il redirect/301 al client, ma sostituirlo con una versione http della pagina. È un attacco ormai conosciuto da anni che non ha fatto altro che sottolineare i problemi di utilizzare i redirect come soluzione.

3 Mi Piace

Grazie per il suggerimento. Risolverò asap

Sono lieto di informarti che adesso ForgottenWorld supporta HSTS su tutti i suoi domini. Ti ringrazio ancora per i tuoi suggerimenti, suggerimenti che hanno permesso a ForgottenWorld di essere al passo con i tempi e sempre aggiornati in termini di sicurezza.

Riporto di seguito i risultati di forum.forgottenworld.it ottenuti con Qualys SSL Labs:

(Fonte: https://www.ssllabs.com/ssltest/analyze.html?d=forum.forgottenworld.it)

4 Mi Piace

Questo argomento è stato automaticamente chiuso 30 giorni dopo l’ultima risposta. Non sono permesse altre risposte.