Краткое введение
В наши дни все понимают насколько простой задачей является угон незащищенной http сессии.
И останавливать от повсеместного внедрения может только цена на покупку сертификата, www.startssl.com решает эту проблему, раздавая бесплатные сертификаты (Class 1). Verified (Class 2) стоят копейки.
Редирект
Когда сертификат куплен, а программное обеспечение настроено становится очевидна необходимость редиректа пользователя с http:// мойсайт.ру на https:// мойсайт.ру.
Подобный редирект создает небольшую дыру в безопасности, атака может быть совершена до редиректа. Поэтому желательно избежать редиректа указав ссылки с https и используя следующие техники:
Спецификация HTTP/1.1 говорит что http responsе коды 301 («moved permanently») и 302 («found»/«moved temporarily») могут быть закешированы браузером.
Поэтому использование заголовков Expires или Cache-Control max-age с большими сроками сделает редиректы более безопасными. Очевидной проблемой является отсутствие уважения к спецификациям со стороны разработчиков некоторых браузеров.
Вторым вариантом является использование заголовка Strict-Transport-Security.
Посредством этого заголовка Вы информируете браузер о том что вебсайт будет доступен только через https. http запросы будут переписаны на стороне клиента браузером.
Strict-Transport-Security: max-age=31556926;
Говорит браузеру, который поддерживает черновой стандарт что 1 год сайт доступен только через https. (Firefox и Chrome уже поддерживают, Opera ожидает переход его статуса в agreed или established).
Дополнительная информация
en.wikipedia.org/wiki/HTTP_Strict_Transport_Security
en.wikipedia.org/wiki/List_of_HTTP_status_codes
Автор: tag
