Peter: Frage zum Wiki-Artikel „HTTPS und TLS“

SELF-Forum

Frage zum Wiki-Artikel „HTTPS und TLS“

Peter
+2 Informationen zu den Bewertungsregeln

problematische Seite

Hallo,

ich glaube, diese Code-Zeile...

Header always set Strict-Transport-Security "max-age=15768000;includeSubdomains"

sollte besser ersetzt werden durch...

Header always set Strict-Transport-Security "max-age=15768000;includeSubdomains" "expr=%{HTTPS} =~ /on/"

Denn dieser Header darf vom Webserver nicht gesetzt werden, wenn die Anfrage über eine unsichere Verbindung behandelt wird.

*RFC 6797 [HTTP Strict Transport Security (HSTS)] Section 7.2. [HTTP Request Type]

An HSTS Host MUST NOT include the STS header field in HTTP responses conveyed over non-secure transport.*

Beitrag melden
+2
Informationen zu den Bewertungsregeln

  1. Frage zum Wiki-Artikel „HTTPS und TLS“

    Christian Kruse Homepage des Autors
    Informationen zu den Bewertungsregeln

    problematische Seite

    Hallo Peter,

    Header always set Strict-Transport-Security "max-age=15768000;includeSubdomains" "expr=%{HTTPS} =~ /on/"

    Denn dieser Header darf vom Webserver nicht gesetzt werden, wenn die Anfrage über eine unsichere Verbindung behandelt wird.

    Jain, da hast du recht. Gedacht (aber nicht geschrieben) hat der Autor vermutlich, dass man den Header im HTTPS-Vhost setzt und nicht global (beachte auch den Vorsicht!-Hinweis). Aber das sollte explizit dabei stehen, ja.

    Ich bin gerade unterwegs und kann das deshalb schlecht ändern; @Matthias Apsel? @Matthias Scharwies? Könnt ihr da etwas umformulieren?

    LG,
    CK

    --
    https://wwwtech.de/about
    Beitrag melden
    Informationen zu den Bewertungsregeln

    1. Frage zum Wiki-Artikel „HTTPS und TLS“

      Matthias Apsel Homepage des Autors
      +1 Informationen zu den Bewertungsregeln

      problematische Seite

      Hallo Christian Kruse,

      Header always set Strict-Transport-Security "max-age=15768000;includeSubdomains" "expr=%{HTTPS} =~ /on/"

      Denn dieser Header darf vom Webserver nicht gesetzt werden, wenn die Anfrage über eine unsichere Verbindung behandelt wird.

      Ich bin gerade unterwegs und kann das deshalb schlecht ändern; @Matthias Apsel? @Matthias Scharwies? Könnt ihr da etwas umformulieren?

      klar doch!

      Bis demnächst
      Matthias

      --
      Pantoffeltierchen haben keine Hobbys.
      Beitrag melden
      +1
      Informationen zu den Bewertungsregeln

      1. Frage zum Wiki-Artikel „HTTPS und TLS“

        Christian Kruse Homepage des Autors
        Informationen zu den Bewertungsregeln

        problematische Seite

        Hallo Matthias,

        klar doch!

        Merci 😀

        LG,
        CK

        --
        https://wwwtech.de/about
        Beitrag melden
        Informationen zu den Bewertungsregeln

  2. Frage zum Wiki-Artikel „HTTPS und TLS“

    beatovich Homepage des Autors
    Informationen zu den Bewertungsregeln

    problematische Seite

    hallo

    Hallo,

    ich glaube, diese Code-Zeile...

    Header always set Strict-Transport-Security "max-age=15768000;includeSubdomains"

    sollte besser ersetzt werden durch...

    Header always set Strict-Transport-Security "max-age=15768000;includeSubdomains" "expr=%{HTTPS} =~ /on/"

    Denn dieser Header darf vom Webserver nicht gesetzt werden, wenn die Anfrage über eine unsichere Verbindung behandelt wird.

    *RFC 6797 [HTTP Strict Transport Security (HSTS)] Section 7.2. [HTTP Request Type]

    An HSTS Host MUST NOT include the STS header field in HTTP responses conveyed over non-secure transport.*

    Ich finde die ganze Umleiterei gar nicht empfehlenswert. Sie ist nämlich nur ein Hack, der nichts gegen MITM-Angiffe leistet.

    Die korrekte Antwort wäre 410 gone!

    Ansonsten wird nämlich http bald das neue https!

    --
    https://beat-stoecklin.ch/pub/index.html
    Beitrag melden
    Informationen zu den Bewertungsregeln