我正在尝试使用这种 url 访问安全网站:https ://securenet.someBank.com 。一切都很好,我看到了登录页面。现在当我输入:
http://securenet.someBank.com(即 http 而不是 https) 我希望在浏览器中返回带有 https 的页面。(例如,当您说:http://mail.yahoo.com时,您会返回https://mail.yahoo.com)。
但在这种情况下 https:://securenet.someBank.com 只是说:无法显示页面。
那么网站开发者在实施安全性方面做错了什么?我只是好奇。我认为这种事情(http --> https 重定向)是由 Web 服务器自动处理的,网站开发人员甚至不需要做任何事情。但显然事实并非如此。
从 HTTP 到 HTTPS 的重定向只是为了方便用户。
正如我在 Webmasters.SE 上的这个答案中所说,只有最终用户才能检查是否完全使用了 HTTPS,以及是否正确使用。否则,MITM 攻击者可以完全阻止初始重定向的发生。
这些自动重定向仅在假设没有 MITM 执行此类攻击的情况下才有用。它们有助于让用户习惯于在应该安全的页面上看到 HTTPS,但无论发生什么,始终由用户来检查他们正在连接的内容。因此,我不一定将缺少这种重定向称为开发人员或系统管理员的错误。
作为用户,您应该始终将https://地址加入书签并将其用于您希望使用的站点。
[...]
https://securenet.someBank.com。一切都很好,我看到了登录页面。[...]但在这种情况下https:://securenet.someBank.com只是说:无法显示页面。
在这里,假设双重::是您问题中的错字,您似乎自相矛盾。如果https://securenet.someBank.com只是说“页面无法显示”,这确实是一个错误。
除了上述布鲁诺的建议外,我建议您阅读以下内容:
https://www.owasp.org/index.php/HTTP_Strict_Transport_Security
你可以做两件事:
1)强制 HTTP 严格传输安全 2)按照该页面上的示例中所述进行永久重定向。
有任何问题,请告诉我。
法比奥@fcerullo
可能是错误的服务器配置。例如,在 apache 中,必须在 httpd.conf 文件中定义一个重定向选项,以便自动重定向到页面的 https URL。