Il redirect da http a https è soggetto a man-in-the-middle attack

jeb · March 19, 2020, 3:31pm

Wiki e link per votare non sono aggiornati

http://minecraftwiki.forgottenworld.it/index.php?title=Forgotten_World -> https://wiki.forgottenworld.it/mc/Forgotten_World

https://www.minecraft-italia.it/lista-server-italiani/forgottenworld -> https://www.minecraft-italia.it/server/forgottenworld

aadeg · March 19, 2020, 3:33pm

Mi confermi che i link che iniziano con http vengono reindirizzati correttamente alla versione https?

Cioè se clicchi sul link wiki dovresti essere portare alla versione https nonostante il link inizi con http.

jeb · March 19, 2020, 3:37pm

Dal server ? si, forgottenworld.it, forum.forgottenworld.it e wiki.forgottenworld.it rispondono 301 e rimandano alla loro versione https

aadeg · March 19, 2020, 3:38pm

Perfetto. Questo era il comportamento desiderato per evitare di dover correggere a mano tutti i vari link.

Grazie ancora per le segnalazioni. Se non ci sono novità chiudo

jeb · March 19, 2020, 3:42pm

wtf ?

Il server reindirizza alla versione https ma il client manda una richiesta http (in chiaro).
Anche se fosse il “comportamento desiderato”, non è un comportamento corretto (specialmente senza HSTS)

aadeg · March 19, 2020, 3:48pm

Il client invia solamente richieste GET in chiaro. Il server risponde con un redirect. Il client manda un GET in cifrato, il server risponde in cifrato.

jeb · March 19, 2020, 3:58pm

L’intera discussione si basa sul fatto che se la richiesta è fatta in http c’è il rischio di MITM.
In quel caso

non è vero, perchè l’attacker potrebbe decidere di non mandare il redirect/301 al client, ma sostituirlo con una versione http della pagina. È un attacco ormai conosciuto da anni che non ha fatto altro che sottolineare i problemi di utilizzare i redirect come soluzione.

aadeg · March 19, 2020, 4:11pm

Grazie per il suggerimento. Risolverò asap

aadeg · March 26, 2020, 11:00am

Sono lieto di informarti che adesso ForgottenWorld supporta HSTS su tutti i suoi domini. Ti ringrazio ancora per i tuoi suggerimenti, suggerimenti che hanno permesso a ForgottenWorld di essere al passo con i tempi e sempre aggiornati in termini di sicurezza.

Riporto di seguito i risultati di forum.forgottenworld.it ottenuti con Qualys SSL Labs:
Screenshot from 2020-03-26 11-59-19

(Fonte: SSL Server Test: forum.forgottenworld.it (Powered by Qualys SSL Labs))

system · April 25, 2020, 11:00am

Questo argomento è stato automaticamente chiuso 30 giorni dopo l’ultima risposta. Non sono permesse altre risposte.