Безопасность веб-страниц - http, https, hsts

Question

У меня есть веб-сервер IIS, где у меня есть прямой доступ к странице типа (page.com), поэтому я разрешил HTTP (порт 80) и затем использую HTTPS (порт 443). Когда пользователь заходит на страницу через порт 80 (page.com), он будет перенаправлен на HTTPS (443). Таким образом, мой веб-сервер использует HSTS с длинным параметром максимального возраста (защита от ssl strip).

Защищена ли моя страница таким образом с помощью заголовка HSTS? Если нет, что мне делать?

Большое спасибо!

Answer 1

Как всегда вопрос защищен от чего? Защищено от ssl strip после первого ответа с помощью HSTS (и до его истечения)? Да. Защищены от ssl-полосы при первом запросе (или первом после истечения срока действия HSTS)? Нет. Защищены от целого ряда различных атак? Не обязательно (dns hijack по первому запросу, проверка корпоративного ssl, мошенническое root свидетельство в клиентах, вредоносное ПО ... список бесконечен).

Не могли бы вы сделать его более безопасным? Да, вообще отключив простой http. Будет ли это иметь смысл в вашем сценарии? Только ты можешь сказать.