Door Erik van Straten: 05-02-2016, 13:55 door Anoniem: HSTS en redirect HTTP
Want inderdaad, de redirect naar HTTPS is er wel bij het intoetsen van amsterdam.nl maar niet voor www.amsterdam.nl
Als ik (met Firefox) naar zowel http://www.amsterdam.nl/ als http://amsterdam.nl/ ga, krijg ik een 301 code terug: "Moved permanently", en Location: "https://www.amsterdam.nl".
Door Anoniem: Kan iemand anders even een pcapje plaatsen waaruit blijkt dat de host niet in de headers al doorgegeven word? Aangezien jullie dapper claimen dat de pagina dan niet weergegeven kan worden?
Menige claim hierboven is weinig beargmenteerd.
Als Torbrowser bezoeker van amsterdam.nl krijg je een waarschuwingspagina naar https://www.amsterdam.nl/
Amsterdam.nl
Toegang geblokkeerd
De toegang tot de pagina die u probeert te bezoeken is tijdelijk geblokkeerd om overbelasting van de website te voorkomen. Wij vragen u vriendelijk onderstaande vraag te beantwoorden om verder te gaan met uw bezoek.
Krijgt u deze melding vaker te zien? Probeert u het dan op een later tijdstip nogmaals. Onze excuses voor het ongemak.
Wat is er gebeurd?
Amsterdam.nl maakt gebruik van een automatische controle om overbelasting van de website te voorkomen. Volgens deze controle wijkt uw bezoek af van het bezoek van een gemiddelde gebruiker. Mogelijk hebt u in korte tijd zeer veel pagina's opgevraagd of zeer veel formulieren verstuurd. Daarom is uw toegang tijdelijk geblokkeerd. Wanneer u bovenstaande vraag beantwoordt, wordt uw toegang hersteld.
Waarom krijg ik deze melding?
Het is mogelijk dat uw computer een virus of andere schadelijke programma's bevat die invloed hebben op uw surfgedrag. Wij raden u aan uw computer met een anti-virusprogramma te controleren of contact op te nemen met uw systeembeheerder als u gebruik maakt van een bedrijfscomputer.
Het kan voorkomen dat de automatische controle uw bezoek ten onrechte heeft opgemerkt en geblokkeerd. In dat geval bieden wij u onze excuses aan voor het ongemak. Blijft het probleem zich voordoen? Neemt u dan contact op met Antwoord op telefoonnummer 14 020.
Gemeente Amsterdam
Nou nee, niks overbelast, Torbrowser bezoeker en ik ben geen kwaaie piet (euh sint euh, wat is tegenwoordig politiek correct in die stad?) netzoals velen met mij die de browser gewoon gebruiken voor normale browsing doeleinden.
Maar dat terzijde.
Vul je alle captcha's net zolang in totdat je door de digitale douane heen bent als onverdacht persoon, dan wordt je doorgeleid naar de pagina met hoofdcontent op https://www.amsterdam.nl/.
Echter, toets je www.amsterdam.nl in dan kom je op een soortgelijke pagina terecht zij het dan op http://www.amsterdam.nl/, dus de niet secure pagina.
Vul je alle captcha's net zolang in totdat je door de digitale douane heen bent als onverdacht persoon, dan wordt je nu doorgeleid naar de pagina met hoofdcontent op https://www.amsterdam.nl/.
Bij mijn weten, door constatering, was dat eerder niet zo en kwam je op een http pagina van die website uit.
Ik heb er helaas geen screenshot van genomen dus terug in de tijd kan ik niet meer om het te controleren of te 'bewijzen'.
Maar, wat mij betreft is het wel een indicatie dat het zo was omdat, immers, er twee versies zijn van de waarschuwingspagina de https versie en de http versie en dat de http versie pas na authenticatie doorleidt naar de https versie in plaats van direct.
Het lijkt dus daarom (best) aannemelijk dat inmiddels de http waarschuwingspagina alsnog is 'doorgelust' (na invullen van de captcha's) naar de https versie waar dat eerder een doorverwijzing naar de http versie was (dacht ik toch echt eerder geconstateerd te hebben).
Want waarom zou ik bij het nu intoetsen van www.amsterdam.nl niet meteen doorgeleid worden naar de waarschuwingspagina onder https om vanaf daar verder naar de hoofdpagina te gaan op https?
That does not make sense, twee aparte waarschuwingspagina's (http en https) maar wel binnen de aanname dat beide website versies online geheel naast elkaar hebben bestaan.
Vermoed dus een snelle fix vandaag, die op zich, al dat zo is, al een compliment waard is.
Een en ander betreft een te bediscussiëren logica achteraf weliswaar, maar ik kan niet meer bewijzen dan het naar mijn indruk eerder anders was.
Daarbij wil ik best nog wel aantekenen dat vergissen mogelijk was (er is maar 1 Erik van Straaten en dat ben ik niet) omdat je toch nogal afgeleid wordt van wat je wilde doen met al die captcha's en het geven van allerhande toestemmingen onder Noscript vanwege iFrames, javascripts en 'clickjacking attempt' waarschuwingen.
Wat betreft de 'overig weinig beargumenteerde' (concreet onderbouwde? Het is niet verboden de pagina van Amsterdam zelf te bezoeken, hooguit wordt je wat tegengewerkt) zaken.
Dit zijn de response headers van de https waarschuwings-landing-page op de https versie,
mocht je er wat aan hebben.
Ik zie geen HSTS, jij wel?
Server: cloudflare-nginx
Date: Fri, 05 Feb 2016 18:13:09 GMT
Content-Type: text/html; charset=utf-8
Cache-Control: public, max-age=3600
Expires: Fri, 05 Feb 2016 19:13:09 GMT
Last-Modified: Fri, 05 Feb 2016 10:23:00 GMT
Vary: Accept-Encoding
P3P: CP="NOI DSP MON CUR ADM DEV TAI OUR NOR STA"
X-Frame-Options: SAMEORIGIN
X-UA-Compatible: IE=edge,chrome=1
X-Xss-Protection: 1; mode=block
X-Content-Type-Options: nosniff
CF-Cache-Status: EXPIRED
CF-RAY: 2700965f31fb192c-HKG
Content-Encoding: gzip
200 OK
Na de digitale douane goedkeuring
Server: cloudflare-nginx
Date: Fri, 05 Feb 2016 18:13:09 GMT
Content-Type: text/html; charset=utf-8
Cache-Control: public, max-age=3600
Expires: Fri, 05 Feb 2016 19:13:09 GMT
Last-Modified: Fri, 05 Feb 2016 10:23:00 GMT
Vary: Accept-Encoding
P3P: CP="NOI DSP MON CUR ADM DEV TAI OUR NOR STA"
X-Frame-Options: SAMEORIGIN
X-UA-Compatible: IE=edge,chrome=1
X-Xss-Protection: 1; mode=block
X-Content-Type-Options: nosniff
CF-Cache-Status: EXPIRED
CF-RAY: 2700965f31fb192c-HKG
Content-Encoding: gzip
200 OK
HSTS hoe zie (zag) je dat?
Voorbeeld Security.nl
https://www.security.nl/posting/459360/Halve+Https+%26+Cloudflare%3F
Server: cloudflare-nginx
Date: Fri, 05 Feb 2016 18:20:27 GMT
Content-Type: text/html
Content-Length: 14748
Connection: keep-alive
Set-Cookie: __cfduid=de3b6b409f8fa1396d218002dd74fb9451454696425; expires=Sat, 04-Feb-17 18:20:25 GMT; path=/; domain=.security.nl; HttpOnly sessionid=3~eo57aoi3l0g9hplqjlcnqakvg3; path=/; domain=www.security.nl; secure; HttpOnly sessionid=3~pet2cb04lel25ajepm02c9nsd5; path=/; domain=www.security.nl; secure; HttpOnly
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Strict-Transport-Security: max-age=31536000
X-Frame-Options: DENY
Vary: Accept-Encoding
Content-Encoding: gzip
CF-RAY: 2700a113d425191a-HKG
200 OK
Maar goed, nu meng ik me toch verder in een (diepere) technische discussie die anderen veel beter kunnen voeren (wat niet betekent dat ik hem niet probeer te blijven volgen, ik begon tenslotte erover).
Groet T.s.
P.s. iemand ooit van een Proclaimer gehoord?
Wellicht, maar een standaard bezoeker die onderaan naar de pagina zoekt naar een Privacy verklaring zal de link waarschijnlijk niet leggen. Digitaal verstoppertjes spelen, daarna wordt er wel gewoon over "Privacyverklaring en proclaimer" gesproken.
Daarnaast krijg ik geen cookie meldingen maar die kun je via deze omweg en dan nog een link in de proclaimer tekst verder finetunen. Wat waarschijnlijk niemand doet omdat ..
Dit verbaasde me toch ook wel wat, zo je privacy beleid communiceren kan beter wat mij betreft. Te beginnen met het woord Privacy te gebruiken op de hoofdpagina en een cookie melding te tonen met een keuze veld.
Ik zie nu meer reacties verschijnen en lees die later.