this page okuma aştım ve bir site SSL ve kullanıcı erişmeye çalıştığında normal http üzerinden, Uygulama https için Kullanıcı yönlendirmek gerektiğini söylüyor. Onu engellemek gerekir. Biri bunun doğruluğunu teyit edebilir mi? İyi bir fikir gibi gelmiyor, ve gerçek risk sadece https için Kullanıcı yönlendirme ne olduğunu merak ediyorum. Arkasında teknik bir sebep yok, sadece iyi bir yolu kullanıcı eğitmek için değil gibi görünüyor.

Devre dışı etki alanı için HTTP erişimi hatta yönlendirmek ya SSL bağlantı yoktur. Sadece kullanıcıları bilgilendirmek bu web sitesidir HTTP üzerinden erişilebilir ve onlar erişim için SSL üzerinden.

Bu MITM karşı en iyi uygulamadır ve Kimlik Avı saldırıları. Bu şekilde kullanıcılar bu eğitimli olacak uygulama HTTP üzerinden erişilebilir asla ve ne zaman onlar bir kimlik avı rastlamak ya MITM bilecek saldırı bir şeyler yanlış.

Senin korumak için en iyi yollarından biri uygulama karşı MITM saldırıları ve Kimlik Avı saldırıları sizin yetiştirmektir kullanıcılar.

Oturum KİMLİĞİ tanımlama bilgisi içeren bir HTTP isteği oturum ele geçirme saldırılarına tabidir. Eğer HTTPS HTTP ve yeniden yönlendirmeye izin ver eğer bu çerezleri güvenli olarak işaretlenmiş önemlidir.

HTTP ya da tamamen bloke olması gereken neden herhangi bir teknik sebep göremiyorum, ve birçok site ileri HTTPS için HTTP. Bunu yaparken son derece tavsiye tarayıcıları sadece HTTPS bağlantılarını kullanmak olduğunu beyan ettiği web güvenlik mekanizması olan (HSTS) HTTP Strict Transport Security uygulamak gerekiyor.

HSTS Strict-Transport-Security: max-age=31536000 gibi yanıt Başlığı belirterek uygulanır. Kullanıcı arayüzleri uyumlu otomatik olarak güvenli bağlantıları güvensiz bağlantıları, böylece man-in-the-orta riskini azaltmak dönecek saldırır. Eğer bu sertifika güvenli olmayan bir risk varsa, ayrıca, örneğin root yetkisi tanınan değilse, o zaman bir hata iletisi görüntülenir ve tepki gösterilmez.