Abuse Melding

Je hebt een klacht over de onderstaande posting:

11-08-2020, 12:53 door Anoniem

Door Anoniem: Ik dacht dat https-everywhere er voor moest zorgen dat er altijd een https verbinding wordt gemaakt? Voor zover ik het begrijp moet de site hiervoor in een ruleset staan. M.a.w. van de site moet al bekend zijn dat 'ie https draait. Ook voor de HSTS-preloadlist moet dit al bekend zijn. Een oplossing die je zelf, als site-eigenaar, kunt treffen is door vanaf de http versie consequent een 301 of 302 te geven naar de https versie. En daar zet je dan een HTST header. Of dit ook helpt tegen de in het artikel beschreven methode is de vraag... hier zet de aanvaller zelf een beveiligde verbinding op en stuurt die dan onbeveiligd door. En als de betreffende site dan tevoren geen HTST header heeft gezet en/of niet op de https-everywhere of HSTS-preloadlist staat is het bingo voor de aanvaller.

Beschrijf je klacht (Optioneel):

captcha