Защита веб-подписок с помощью https

Question

Я публикую веб-ссылки, которые позволяют пользователям моего веб-приложения подписываться на различные календари. Насколько я понимаю, приложения, которые распознают веб-URL-адреса, по умолчанию будут использовать http, но я бы хотел обеспечить передачу файлов с помощью https. Следующее правило перезаписи apache работает, но подходит ли это решение?

RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^.*$ https://%{SERVER_NAME}%{REQUEST_URI} [R,L]

Да, все в этом домене должно обслуживаться через https. Я знаю, что мог бы заменить webcal на https, но тогда я бы потерял преимущество схемы webcal URI (то есть простой подписки). Я видел упоминания о веб-играх в Интернете, но информации мало, и Apple iCal это не нравится.

Я планирую использовать обычную аутентификацию с этими календарями. Есть ли проблема с выполнением запроса через http, а затем с перенаправлением на https?

Answer 1

Да, может быть проблема: первоначальный запрос будет отправлен по HTTP, включая заголовки и т. Д.

Это не обязательно проблема, если первоначальный запрос не включает учетные данные итогда ответ на запрос проверки подлинности HTTP Basic отправляется только во втором запросе, который будет по URL-адресу HTTPS.Однако существует вероятность того, что некоторые клиенты могут использовать упреждающую аутентификацию, и в этом случае учетные данные будут отправлены (фактически в открытом виде) в первом запросе с простым HTTP-запросом.

Как я уже говорил в этот ответ , перенаправление с HTTP на HTTPS не всегда обеспечивает столько безопасности, сколько хотелось бы.

(Что касается webcal:// URL, я думаю, что некоторые клиенты поддерживают схему webcals:// дляэквивалент HTTPS.)