В видеоролике, опубликованном на его веб-сайте www.krackattacks.com, исследователь безопасности Mathy Vanhoef продемонстрировал, что возможно переключение HTTPS-соединения на HTTP, а затем перехват учетных данных входа.
Я запускаю небольшой сервер https (Apache, Ubuntu 16.04), и я хотел как настроить его таким образом, чтобы отклонить любые попытки понизить HTTPS-запросы.
Как проверить, будет ли мой экземпляр Apache принимать и соблюдать браузер запросить понижение HTTPS до HTTP? Как я могу повторно настроить Apache для отклонения таких запросов от браузеров? Есть ли причина не делать (2) выше? Поддержка пользователей старыми браузерами - это то, о чем я могу думать, есть ли что-то еще, что мне не хватает?Один параметр просто не разрешает только HTTP https.
Другой вариант - использовать HTTP Strict Transport Security.
Вы можете сделать это в Apache, добавив
Заголовок всегда устанавливает Strict-Transport-Security «max-age = 31536000; includeSubDomains»
К вашему TLS включенному vhost. Вы также должны перенаправлять любые запросы, сделанные на http на https, чтобы гарантировать, что эти палочки.
Один параметр просто не разрешает только HTTP https.
Другой вариант - использовать HTTP Strict Transport Security.
Вы можете сделать это в Apache, добавив
Заголовок всегда устанавливает Strict-Transport-Security «max-age = 31536000; includeSubDomains»
К вашему TLS включенному vhost. Вы также должны перенаправлять любые запросы, сделанные на http на https, чтобы гарантировать, что эти палочки.
Один параметр просто не разрешает только HTTP https.
Другой вариант - использовать HTTP Strict Transport Security.
Вы можете сделать это в Apache, добавив
Заголовок всегда устанавливает Strict-Transport-Security «max-age = 31536000; includeSubDomains»
К вашему TLS включенному vhost. Вы также должны перенаправлять любые запросы, сделанные на http на https, чтобы гарантировать, что эти палочки.