Http से https को अप्रत्यक्ष किए बिना https पूरी साइट को फोर्स करें

जब मैं अपनी पूरी साइट https बनाने का तरीका खोज रहा था, तब काफी चर्चाएँ हुईं। सबसे ज्यादा जवाब http से https (.htaccess फाइल) को रीडायरेक्ट करना था, जो अच्छा नहीं है, क्योंकि एक ही काम को दो बार (दो रिक्वेस्ट) करना अच्छा नहीं है। इसके अलावा, "बीच में आदमी" पहले http पर लेता है, और मैं चाहता हूं कि मेरी साइट सीधे https पर जाए। क्या आपकी पूरी साइट https बनाने का एक और तरीका है, और यह कैसे करना है? उदाहरण के लिए, जब उपयोगकर्ता example.com में टाइप करता है, तो वह example.com स्वचालित रूप से https पर जाता है, बिना http या किसी अन्य चीज़ से रीडायरेक्ट किए बिना?

नहीं। आप जादुई रूप से आगंतुक के ब्राउज़र को सही प्रोटोकॉल नहीं बना सकते। एक पुनर्निर्देशन इसे करने का तरीका है।

http://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security आपके सर्वर को यह इंगित करने की अनुमति देता है कि डोमेन को केवल HTTPS के माध्यम से एक्सेस किया जाना चाहिए। यह केवल बाद के अनुरोधों पर लागू होता है, इसलिए प्रारंभिक HTTP लोड होगा, लेकिन भविष्य के अनुरोध HTTPS को लोड करेंगे भले ही किसी ने स्पष्ट रूप से HTTP टाइप किया हो।

IE इसे अभी तक समर्थन नहीं करता है, लेकिन अन्य सभी बड़ी कंपनियों करते हैं।

जैसा कि दूसरों ने कहा है, आप उपयोगकर्ताओं को सही प्रोटोकॉल चुनने के लिए मजबूर नहीं कर सकते। लेकिन जब उपयोगकर्ता HTTP का उपयोग करने की कोशिश करता है, तो आपको क्या करना चाहिए? एक रीडायरेक्ट भी अपर्याप्त है, क्योंकि आपके और क्लाइंट के बीच बैठा एक हमलावर रीडायरेक्ट को बाधित कर सकता है, इसलिए क्लाइंट इसे कभी नहीं देखता है। क्लाइंट सादे HTTP भेजना जारी रखेगा, और हमलावर एसएसएल परत को सर्वर ( एसएसएल स्ट्रिपिंग हमले ) से दूर कर देगा ।

इसे रोकने का एकमात्र निश्चित तरीका है कि HTTP की सेवा बिल्कुल न करें । पोर्ट 80 पर जवाब न दें, शायद एक सादे पाठ पृष्ठ की सेवा के लिए उपयोगकर्ता को HTTPS के साथ फिर से प्रयास करने के लिए निर्देश दें (लेकिन एक लिंक प्रदान नहीं कर रहा है, जिसे हमलावर हेरफेर कर सकता है)। यह उपयोगकर्ता को https://अपने ब्राउज़र में टाइप करने के लिए मजबूर करेगा , इसलिए वे SSL के साथ कनेक्शन शुरू करेंगे और MITM हमले को रोकेंगे।

पूरी तरह से सच नहीं: एक विशिष्ट आईपी को हल करने के लिए डीएनएस / होस्टनाम या अन्य तरीकों का उपयोग कैसे करें: पोर्ट

एक तरीका है, लेकिन अधिकांश ब्राउज़र rfc2782 को लागू नहीं करते हैं।

यहाँ विशेष रूप से उल्लेखित हमले को रोकने के लिए ceejayoz के पास सबसे अच्छा जवाब है, लेकिन मैं यह भी बताना चाहता हूं कि यहां बहुत सारे लोग गायब हैं जो मूल रूप से HTTP का दूसरा हिस्सा पहले से ही लगा हुआ है। आप एक स्थायी 301 रीडायरेक्ट करना चाहते हैं। यह क्लाइंट को नए पते के लिए आगे अनुरोध करने के लिए कहता है। तो हाँ, अगर कोई गलत URL टाइप करता है तो वे 2 अनुरोध BUT करेंगे, भविष्य में, एक अच्छा ग्राहक उस URL के अनुरोधों का पता लगाने और किसी भी अधिक बर्बाद अनुरोध को रोकने के बजाय सही अनुरोध करने वाला है। समस्या यह है कि यह केवल उस सटीक URL के लिए है। HSTS ने यह कहते हुए इस योजना में सुधार किया, 'अगले n सेकंड के लिए भी इस डोमेन से किसी भी गैर-सुरक्षित कनेक्शन की अनुमति नहीं है'।

उपयोगकर्ताओं को असुरक्षित स्थानों पर संवेदनशील साइटों पर नहीं जाना चाहिए। उन्हें विशेष रूप से असुरक्षित स्थानों पर उनके लिए साइनअप नहीं करना चाहिए। ये मूल उपयोगकर्ता सुरक्षा प्रधानाचार्य हैं, जिन्हें केवल 'जैसे अविश्वसनीय स्रोतों से संलग्नक नहीं खोलना' सिखाया जाना चाहिए। जो वास्तव में उन साइटों के लिए MiM हमलों को रोकने के लिए सबसे अच्छा जवाब है, जिन्हें कभी दौरा नहीं किया गया है।

एक साइड नोट के रूप में, कुछ ब्राउज़र इस पर सुधार करते हुए यह भी कहते हैं कि कुछ ज्ञात साइटें हमेशा एचएसटीएस का उपयोग करती हैं। दुर्भाग्य से, आप इस सूची में आसानी से खुद को जोड़ नहीं सकते।

आगे पढ़े: http://coderrr.wordpress.com/2010/12/27/canonical-redirect-pitfalls-with-http-strict-transport-security-and-some-solutions/

http://dev.chromium.org/sts